Novo botnet Emotet cresce rapidamente, com mais de 130 mil bots

Crescem os ataques por malware distribuído por e-mail com arquivos em PDF anexados

O botnet Emotet retornou há poucos meses. No entanto, já infectou mais de 130.000 bots únicos espalhados por 179 países. A ação do Emotet cresce substancialmente desde sua ressurreição em novembro de 2021.

Ainda no início de 2021, autoridades policiais e judiciais em todo o mundo realizaram uma operação conjunta, que interrompeu a botnet Emotet. Na época, os investigadores assumiram o controle de sua infraestrutura em uma ação coordenada internacionalmente.

As agências de aplicação da lei conseguiram assumir pelo menos 700 servidores usados ??como parte da infraestrutura do botnet Emotet. O FBI coletou milhões de endereços de e-mail usados ??pelos operadores do Emotet em suas campanhas de malware como parte da operação de limpeza.

Botnet Emotet

O trojan bancário Emotet está ativo pelo menos desde 2014, o botnet é operado por um agente de ameaças rastreado como TA542. O Emotet foi usado para entregar outros códigos maliciosos, como trojans Trickbot e QBot, ou ransomware como Conti, ProLock, Ryuk e Egregor.

Em novembro de 2021, pesquisadores de várias empresas de segurança cibernética relataram que os agentes de ameaças estavam usando o malware TrickBot para lançar um carregador Emoted em dispositivos infectados. Os especialistas acompanharam a campanha destinada a reconstruir o botnet Emotet usando a infraestrutura do TrickBot como Operação Reacharound.

Desde seu relatório, os operadores do Emotet acumularam um número impressionante de sistemas infectados, relataram pesquisadores do Black Lotus Labs da Lumen. Os pesquisadores apontaram que o novo botnet Emotet suporta novos recursos para evitar detecção e análise, como o uso de criptografia para tráfego de rede e a separação da lista de processos em um módulo próprio.

A nova versão usa criptografia de curva elíptica (ECC), com uma chave pública para realizar a criptografia e um algoritmo separado que é usado para realizar a validação dos dados. A nova versão também é capaz de coletar informações adicionais sobre o host infectado. Os especialistas também relataram um crescimento significativo do pool C2 no final de fevereiro a 4 de março.

https://securityaffairs.co/wordpress/128879/breaking-news/emotet-botnet-rapidly-growing.html

Uma das características mais importantes da nova infraestrutura Emotet é a aparente ausência de Bot C2s, que são bots que receberiam um módulo UPnP que permitia que um dispositivo infectado atuasse como C2 abrindo uma porta no roteador do usuário que permitiria para o tráfego de proxy de bots Emotet para um C2 de nível superior, aponta o SecurityAffairs.

A maioria dos Emotet C2s está localizada nos Estados Unidos e na Alemanha, o restante da lista dos 10 principais países em volume de C2s inclui França, Brasil, Tailândia, Cingapura, Indonésia, Canadá, Reino Unido e Índia.

Via: SecurityAffairs