В мае 2019 года специалисты заметили, что один из крупнейших ботнетов последнего времени, Emotet, практически престал подавать признаки жизни. Операторы малвари отключили управляющие серверы, прекратили рассылать ботам команды и не проводили новых спам-кампаний. Эксперты надеялись, что ботнет наконец-то ликвидировали правоохранительные органы, однако теперь Emotet вернулся.
Исследователи заметили, что Emotet начал «просыпаться» еще в конце августа текущего года. В строй вернулись управляющие серверы, однако рассылка спама возобновилась не сразу. Первое время серверы восстанавливали связь с ранее зараженными ботами, распространяли угрозу по локальным сетям, увеличивая размер ботнета и готовясь к продолжению активности.
#Emotet Summer holidays over - Emotet is back online. ?
— Jake (@JCyberSec_) August 23, 2019
What Do We Know So Far?
Since Friday morning, the servers of cybercrime gang MUMMY SPIDER (aka. TA542) are active again. ?
Thread - Retweet to help share knowledge! ♻️ pic.twitter.com/YtfxOJi0Z8
Вчера, 16 сентября 2019 года, ИБ-специалисты предупредили, что ботнет возобновил рассылку спама, содержащего вредоносные вложения или ссылки на вредоносные файлы. Сообщается, что пока новая спамерская кампания ориентирована в первую очередь на пользователей, говорящих на польском и немецком языках.
#emotet has resumed spamming operations this morning. We will provide some updates soon.
— Cofense Labs (@CofenseLabs) September 16, 2019
Emotet is fully back in action and spamming. Within the past 15 minutes our researchers have observed activity. #botnet #emotet #ThreatIntel pic.twitter.com/jRTNqph6K0
— Spamhaus (@spamhaus) September 16, 2019
По данным исследователей, Emotet в настоящее время нацелен на 66 000 уникальных email-адресов более чем 30 000 доменных имен и 385 уникальных доменов верхнего уровня (TLD). Специалисты компании Cofense Lab пишут, что вредоносные письма исходят от 3362 разных отправителей, чьи учетные данные были украдены.
Напомню, что после заражения компьютер жертвы становится частью ботнета Emotet. Малварь действует как загрузчик для других угроз. Кроме того, Emotet может подгружать модули, которые извлекают пароли из локальных приложений, распространяют малварь на другие устройства в той же сети, а также используются для хищения чужой электронной почты, чтобы затем использовать письма в спам-кампаниях.
Так как операторы Emotet управляют своим ботнетом по схеме Malware-as-a-Service (MaaS), другие хак-группы могут арендовать доступ к компьютерам, зараженным Emotet, и распространять таким образом собственные пейлоады. К примеру, клиентами Emotet уже выступали разработчики шифровальщиков Bitpaymer и Ryuk.
Стоит отметить, что «отпуск» операторов Emotet – это вовсе не из ряда вон выходящий случай. Ботнеты нередко делают перерывы в работе, обновляя инфраструктуру, или пока их операторы отдыхают. Например, известный ботнет Dridex каждый год отключается в период с середины декабря до середины января, на время зимних каникул.