Sự trỗi dậy mới nhất của Botnet Emotet đã lan rộng đến hơn 100.000 máy tính

Phần mềm độc hại botnet Emotet

Emotet ngấm ngầm, đã quay trở lại vào tháng 11 năm 2021 sau 10 tháng gián đoạn, một lần nữa cho thấy các dấu hiệu tăng trưởng ổn định, tích lũy một đàn hơn 100.000 máy chủ bị nhiễm vì đã thực hiện các hoạt động độc hại của nó.

Các nhà nghiên cứu từ Black Lotus Labs của Lumen cho biết trong một báo cáo: “Trong khi Emotet vẫn chưa đạt được quy mô như trước đây, mạng botnet đang cho thấy sự hồi sinh mạnh mẽ với tổng số khoảng 130.000 bot duy nhất trải rộng trên 179 quốc gia kể từ tháng 11 năm 2021”.

Emotet, trước khi bị gỡ xuống vào cuối tháng 1 năm 2021 trong khuôn khổ hoạt động phối hợp thực thi pháp luật có tên “Ladybird”, đã lây nhiễm cho không dưới 1,6 triệu thiết bị trên toàn cầu, hoạt động như một đường dẫn cho tội phạm mạng cài đặt các loại phần mềm độc hại khác, chẳng hạn như hoặc , vào các hệ thống bị xâm nhập.

Phần mềm độc hại chính thức xuất hiện trở lại vào tháng 11 năm 2021 bằng cách sử dụng TrickBot làm phương tiện giao hàng, sau đó nó đã đóng cửa cơ sở hạ tầng tấn công vào cuối tháng trước sau khi một số thành viên chủ chốt của nhóm bị xâm nhập vào tập đoàn ransomware Conti.

Phần mềm độc hại botnet Emotet

Sự hồi sinh của Emotet được cho là do chính băng đảng Conti dàn dựng trong nỗ lực thay đổi chiến thuật để đáp lại sự giám sát của cơ quan thực thi pháp luật ngày càng tăng đối với các hoạt động phát tán phần mềm độc hại của TrickBot.

Xem tiếp:   Cơ quan an ninh mạng Hoa Kỳ xuất bản danh sách các công cụ và dịch vụ bảo mật miễn phí

Phần mềm độc hại botnet Emotet

Black Lotus Labs lưu ý rằng “quá trình tập hợp các bot thực sự không bắt đầu một cách nghiêm túc cho đến tháng 1 [2022]”việc thêm các biến thể mới của Emotet đã hoán đổi sơ đồ mã hóa RSA sang mật mã đường cong elliptic (ECC) để mã hóa lưu lượng mạng.

Một bổ sung mới khác cho khả năng của nó là khả năng thu thập thông tin hệ thống bổ sung ngoài danh sách các quy trình đang chạy từ các máy bị xâm nhập.

Hơn nữa, cơ sở hạ tầng mạng botnet của Emotet được cho là bao gồm gần 200 máy chủ ra lệnh và kiểm soát (C2), với hầu hết các miền đặt tại Hoa Kỳ, Đức, Pháp, Brazil, Thái Lan, Singapore, Indonesia, Canada, Vương quốc Anh và Ấn Độ.

Mặt khác, các bot bị nhiễm lại tập trung nhiều ở châu Á, chủ yếu là Nhật Bản, Ấn Độ, Indonesia và Thái Lan, tiếp theo là Nam Phi, Mexico, Mỹ, Trung Quốc, Brazil và Ý. Các nhà nghiên cứu cho biết: “Điều này không có gì đáng ngạc nhiên khi các máy chủ Windows lỗi thời hoặc dễ bị tấn công trong khu vực”.

Black Lotus Labs lưu ý: “Sự phát triển và phân phối của các bot là một chỉ số quan trọng cho thấy tiến độ của Emotet trong việc khôi phục lại cơ sở hạ tầng đã từng có một thời rực rỡ”. “Mỗi bot là một chỗ đứng tiềm năng đối với một mạng đáng mơ ước và mang đến cơ hội triển khai Cobalt Strike hoặc cuối cùng được thăng cấp lên Bot C2.”

Xem tiếp:   Karakurt: Một nhóm trộm cắp dữ liệu mới nổi và nhóm tấn công tống tiền trên mạng

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …