Ботнет Emotet вновь активизировался после четырех месяцев бездействия

В мае 2019 года специалисты заметили, что один из крупнейших ботнетов последнего времени, Emotet, практически престал подавать признаки жизни. Операторы малвари отключили управляющие серверы, прекратили рассылать ботам команды и не проводили новых спам-кампаний. Эксперты надеялись, что ботнет наконец-то ликвидировали правоохранительные органы, однако теперь Emotet вернулся.

Исследователи заметили, что Emotet начал «просыпаться» еще в конце августа текущего года. В строй вернулись управляющие серверы, однако рассылка спама возобновилась не сразу. Первое время серверы восстанавливали связь с ранее зараженными ботами, распространяли угрозу по локальным сетям, увеличивая размер ботнета и готовясь к продолжению активности.

Вчера, 16 сентября 2019 года,  ИБ-специалисты предупредили, что ботнет возобновил рассылку спама, содержащего вредоносные вложения или ссылки на вредоносные файлы. Сообщается, что пока новая спамерская кампания ориентирована в первую очередь на пользователей, говорящих на польском и немецком языках.

По данным исследователей, Emotet в настоящее время нацелен на 66 000 уникальных email-адресов более чем 30 000 доменных имен и 385 уникальных доменов верхнего уровня (TLD). Специалисты компании Cofense Lab пишут, что вредоносные письма исходят от 3362 разных отправителей, чьи учетные данные были украдены.

Напомню, что после заражения компьютер жертвы становится частью ботнета Emotet. Малварь действует как загрузчик для других угроз. Кроме того, Emotet может подгружать модули, которые извлекают пароли из локальных приложений, распространяют малварь на другие устройства в той же сети, а также используются для хищения чужой электронной почты, чтобы затем использовать письма в спам-кампаниях.

Так как операторы Emotet управляют своим ботнетом по схеме Malware-as-a-Service (MaaS), другие хак-группы могут арендовать доступ к компьютерам, зараженным Emotet, и распространять таким образом собственные пейлоады. К примеру, клиентами Emotet уже выступали разработчики шифровальщиков Bitpaymer и Ryuk.

Стоит отметить, что «отпуск» операторов Emotet – это вовсе не из ряда вон выходящий случай. Ботнеты нередко делают перерывы в работе, обновляя инфраструктуру, или пока их операторы отдыхают. Например, известный ботнет Dridex каждый год отключается в период с середины декабря до середины января, на время зимних каникул.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)