Emotet botnet está de volta com a ajuda do malware TrickBot

Atualizado: 22 de abr.

O malware Emotet, que já foi considerado o mais difundido no mundo, está de volta quase 10 meses depois que uma operação policial coordenada pela Europol e Eurojust desmontou sua infraestrutura de comando e controle no final de janeiro de 2021.


De acordo com um novo relatório do pesquisador de segurança Luca Ebach, o malware TrickBot está sendo usado como vetor de ataque de uma nova versão do Emotet visando sistemas que já tinham sido infectados pela versão anterior. A variante mais recente assume a forma de um arquivo DLL, com a primeira ocorrência sendo detectada em 14 de novembro.



VEJA TAMBÉM: Ransomware: Dicas de defesa para pequenas e médias empresas


A Europol apelidou o Emotet como o "malware mais perigoso do mundo" por sua capacidade de atuar como um "abridor de portas" para que hackers obtenham acesso não autorizado, tornando-se um precursor de ataques de ransomware. O Emotet permitiu que outras famílias de malware, como Trickbot, QakBot e Ryuk se espalhassem em larga escala.


A operação policial utilizou a infraestrutura do Emotet para desinstalar automaticamente o malware em massa dos computadores comprometidos em abril.


Para evitar que os dispositivos sejam cooptados para a botnet, é recomendado que os administradores de rede bloqueiem todos os endereços IP associados.


Em menos de 24 horas, o Emotet expandiu sua infraestrutura de comando e controle (C2) de botnet de 9 servidores C2 ativos para 14 servidores C2 ativos.


O aumento na atividade do malware foi acompanhado por um crescimento nas campanhas de malspam, com cadeias de infecção que usam documentos Word e Excel habilitados para macro anexados a e-mails. Kevin Beaumont, pesquisador de segurança, tweetou:


[O Emotet está] de volta e reequipado. O código e a infraestrutura tiveram atualizações, estão mais protegidos agora. Deve ser alguém com acesso ao código-fonte original.

O especialista em Emotet e pesquisador do Cryptolaemus Joseph Roosen, completa:


Até agora podemos confirmar definitivamente que o buffer de comando mudou. Agora existem 7 comandos em vez de 3-4. Parece haver várias opções de execução para binários baixados (já que não são apenas dlls).

VEJA TAMBÉM: Segurança Cibernética no Setor Público: Tendências Globais


Vitali Kremez, da Advanced Intel, também analisou o novo dropper Emotet e alertou que o renascimento da botnet pode levar a um aumento nas infecções de ransomware:


É um primeiro sinal da possível atividade iminente do malware Emotet, alimentando as principais operações de ransomware globalmente, devido à escassez no ecossistema de loaders.
A remoção do Emotet não evitou que os adversários obtivessem o arquivo original do malware e configurassem o sistema de back-end, trazendo-o de volta à vida.

Fontes: Bleeping Computer e The Hacker News

 

Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

98 visualizações

Posts recentes

Ver tudo

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos