Emotet возвращается и восстанавливает свой ботнет

отредактировано 2 дек Раздел: Вирусы & Антивирусы
Вредоносное ПО Emotet в прошлом считалось наиболее распространенным вредоносным ПО, которое использовало спам-кампании и вредоносные вложения для распространения вредоносного ПО.
Затем Emotet будет использовать зараженные устройства для проведения других спам-кампаний и установки других полезных нагрузок, таких как вредоносное ПО QakBot (Qbot) и Trickbot. Эти полезные данные затем будут использоваться для предоставления первоначального доступа злоумышленникам для развертывания программ-вымогателей, включая Ryuk, Conti, ProLock, Egregor и многие другие.

В начале года международная правоохранительная операция, координируемая Европолом и Евроюстом, захватила инфраструктуру Emotet и арестовала двух человек.

Немецкие правоохранительные органы использовали эту инфраструктуру для доставки модуля Emotet, который удалил вредоносное ПО с зараженных устройств 25 апреля 2021 года.

Emotet возвращается после операции правоохранительных органов

Сегодня исследователи из Cryptolaemus, Gdata и Advanced Intel начали видеть вредоносную программу Trybot, который устанавливает загрузчик для Emotet на зараженных устройствах.

В то время как в прошлом Emotet установил Trybot, в настоящее время используется метод, чтобы восстановить ботнет Emoot, используя существующую инфраструктуру TryboT.

Vitali Kremez из Advanced Intel проанализировал установщик Emotet и предупредил, что возрождение вредоносного ботнета, вероятно, приведет к участию инфекций ransomware.

«Это ранний признак возможного предстоящего возвращения Emotet, наносящий вредоносную активность, выполняющего основные операции по ransomware по всему миру.
«Это говорит нам, что удаление Emotet не помешало противникам найти средство построения вредоносных программ и создать бэкэндскую систему, возвращающую ее обратно в жизнь».
Кремез сообщил, что нынешняя DLL загрузчика Emotet имеет компиляцию с Timestamp от (Sun Nov 14 20:50:34 2021)».

Защищать против нового ботнета Emotet

Занимающаяся отслеживанием malware некоммерческая организация Abuse.ch выпустила список серверов команд и управления, используемых новым ботнетом Emotet, и настоятельно рекомендует, чтобы администраторы сети блокировали соответствующие IP-адреса.

ythsxaxf4hmr.jpg

К сожалению, новая инфраструктура Emotet быстро растет, причем уже более 246 инфицированных устройств действуют в виде серверов команд и контроля.

Сетевым администраторам настоятельно рекомендуются блокировать все связанные IP-адреса, чтобы предотвратить добавление их устройств в недавно восстановленный ботнет Emotet.

https://www.bleepingcomputer.com/news/security/emotet-malware-is-back-and-rebuilding-its-botnet-via-trickbot/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:

Комментарии

  • отредактировано 17 ноя PM
    Новые спам-кампании Emotet, которые попадают в почтовые ящики по всему миру.
    Вредоносная программа Emotet начала действовать вчера после десятимесячного перерыва в проведении многочисленных спам-кампаний, доставляющих вредоносные документы в почтовые ящики по всему миру.

    Emotet - это вредоносное ПО, которое распространяется через спам-кампании с вредоносными вложениями. Если пользователь откроет вложение, вредоносные макросы или JavaScript загрузят Emotet DLL и загрузят ее в память с помощью PowerShell.

    После загрузки вредоносная программа будет искать и красть электронные письма для использования в будущих спам-кампаниях и сбрасывать дополнительные полезные данные, такие как TrickBot или Qbot, которые обычно приводят к заражению программами-вымогателями.

    Спам Emotet снова начинается

    Вчера вечером исследователь кибербезопасности Брэд Дункан опубликовал дневник обработчика SANS о том, как ботнет Emotet начал рассылать спам в нескольких кампаниях по электронной почте с целью заражения устройств вредоносным ПО Emotet.

    По словам Дункана, в спам-кампаниях используются электронные письма с цепочкой воспроизведения, чтобы побудить получателя открыть прикрепленные вредоносные файлы Word, Excel и защищенные паролем ZIP-файлы.

    Фишинговые письма с цепочкой ответов - это когда ранее украденные цепочки писем используются с поддельными ответами для распространения вредоносного ПО среди других пользователей.

    В образцах, предоставленных Дунканом, мы видим, что Emotet использует цепочки ответов, связанные с «пропавшим кошельком», распродажей CyberMonday, отмененными встречами, политическими пожертвованиями и прекращением стоматологической страховки.

    К этим электронным письмам прикрепляются документы Excel или Word с вредоносными макросами или защищенный паролем вложения ZIP-файл, содержащий вредоносный документ Word, примеры которых показаны ниже.

    в настоящее время в рамках новых спам-кампаний Emotet распространяются два разных вредоносных документа.

    Первый - это шаблон документа Excel, в котором указано, что документ будет работать только на настольных или портативных компьютерах и что пользователю необходимо нажать «Включить содержимое» для правильного просмотра содержимого.

    Как вложения Emotet заражают устройства

    Когда вы открываете вложения Emotet, в шаблоне документа будет указано, что предварительный просмотр недоступен и что вам нужно нажать «Разрешить редактирование» и «Разрешить контент» для правильного просмотра контента.

    Однако, как только вы нажмете на эти кнопки, будут включены вредоносные макросы, которые запускают команду PowerShell для загрузки DLL-загрузчика Emotet со скомпрометированного сайта WordPress и сохранения ее в папке C: \ ProgramData.

    powershell-command.jpg

    После загрузки DLL будет запущена с использованием C: \ Windows \ SysWo64 \ rundll32.exe, который скопирует DLL в случайную папку в% LocalAppData%, а затем повторно запустит DLL из этой папки.

    Через некоторое время Emotet настроит значение запуска в HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run для запуска вредоносной программы при запуске Windows.

    Вредоносная программа Emotet теперь будет незаметно работать в фоновом режиме, ожидая выполнения команд со своего сервера управления и контроля.

    Эти команды могут быть предназначены для поиска электронной почты для кражи, распространения на другие компьютеры или установки дополнительных полезных данных, таких как трояны TrickBot или Qbot.

    emotet-attack-flow.jpg

    Защита от Emotet

    Организация Abuse.ch, занимающаяся мониторингом вредоносных программ и ботнетов, опубликовала список из 245 серверов управления и контроля, которые брандмауэры периметра могут блокировать для предотвращения связи с серверами управления и контроля.
    ################################################################
    # abuse.ch Feodo Tracker Botnet C2 IP Blocklist (recommended) #
    # Last updated: 2021-11-17 04:55:35 UTC #
    # #
    # Terms Of Use: https://feodotracker.abuse.ch/blocklist/ #
    # For questions please contact feodotracker [at] abuse.ch #
    ################################################################
    #
    # DstIP

    Блокирование связи с C2 также предотвратит сброс Emotet дальнейших полезных данных на скомпрометированных устройствах.
    В январе 2021 года международная правоохранительная операция отключила ботнет Emotet, и в течение десяти месяцев вредоносное ПО не было активным.

    Однако, начиная с вечера воскресенья, активные заражения TrickBot начали сбрасывать загрузчик Emotet на уже зараженные устройства, восстанавливая ботнет для рассылки спама.

    Возвращение Emotet - важное событие, за которым все сетевые администраторы, специалисты по безопасности и администраторы Windows должны следить за новыми разработками.

    В прошлом Emotet считался наиболее распространенным вредоносным ПО и имеет хорошие шансы восстановить прежний рейтинг.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Возвращение ботнета Emotet, организованное кибергруппой Conti

    Ботнет Emotet вернулся по многочисленным просьбам "трудящихся", членов кибергруппы Conti.

    Исследователи безопасности из Advanced Intelligence (AdvIntel) полагают, что перезапуск проекта был вызван пустотой, которую Emotet оставил на рынке высококачественного начального доступа после того, как правоохранительные органы закрыли его десять месяцев назад.

    Возрождение ботнета следует за длительным периодом нехватки загрузчиков вредоносных программ и упадком децентрализованных операций с программами-вымогателями, что позволило синдикатам организованной преступности снова подняться.

    Программа-вымогатель Conti может занять доминирующее положение

    Emotet, считающийся наиболее распространенным вредоносным ПО, выступал в качестве загрузчика вредоносных программ, который предоставлял другим операторам вредоносных программ первоначальный доступ к зараженным системам, которые были оценены как ценные.

    Qbot и TrickBot, в частности, были основными клиентами Emotet и использовали свой доступ для развертывания программ-вымогателей (например, Ryuk, Conti, ProLock, Egregor, DoppelPaymer и других).

    «Стратегическая, операционная и тактическая гибкость Emotet была реализована с помощью модульной системы, позволяющей им адаптировать функциональность и специализацию полезной нагрузки к потребностям конкретных клиентов» - AdvIntel

    Операторы ботнета предоставили начальный доступ в промышленном масштабе, поэтому многие вредоносные операции зависели от Emotet в своих атаках, особенно в так называемой триаде Emotet-TrickBot-Ryuk.

    Ryuk является предшественником программы-вымогателя Conti. Переключение произошло в прошлом году, когда активность Conti начала расти, а количество обнаружений Ryuk сократилось. Операторы обоих штаммов вымогателей имеют долгую историю атак на организации в секторе здравоохранения и образования.

    Исследователи AdvIntel говорят, что после того, как Emotet исчез со сцены, киберпреступные группы высшего уровня, такие как Conti (загруженные с помощью TrickBot и BazarLoader) и DoppelPaymer (загруженные с помощью Dridex), остались без жизнеспособного варианта высококачественного начального доступа.

    «Это несоответствие между спросом и предложением делает возрождение Emotet важным. Когда этот ботнет вернется, он может серьезно повлиять на всю среду безопасности, заполнив фундаментальный пробел групп программ-вымогателей »- AdvIntel

    Исследователи полагают, что одна из причин, которая способствовала закрытию в этом году нескольких операций с использованием программ-вымогателей (RaaS) (Babuk, DarkSide, BlackMatter, REvil, Avaddon), заключалась в том, что аффилированные лица использовали продавцов и брокеров с низкоуровневым доступом (RDP, уязвимый VPN, некачественный спам).

    С уходом конкурентов из бизнеса вымогателей «традиционные группы», такие как Conti (ранее Ryuk) и EvilCorp, снова поднялись по служебной лестнице, привлекая «талантливых специалистов по вредоносным программам, массово покидающих расформированные RaaSes».

    Группа Conti, в состав которой входил по крайней мере один бывший член Ryuk, и в партнерстве с крупнейшим клиентом Emotet, TrickBot, находились в лучшем положении, чтобы попросить операторов Emotet вернуться.

    Исследователи AdvIntel уверены, что группа Conti будет доставлять свою полезную нагрузку к важным целям через Emotet, как только ботнет разрастется, и станет доминирующим игроком на сцене программ-вымогателей.

    Поскольку партнерские отношения приносят наилучшие результаты, как показал альянс Emotet-TrickBot-Ryuk в 2019 и 2020 годах, новая триада может вскоре превзойти другие операции с вымогателем Conti в качестве конечной полезной нагрузки.

    https://www.bleepingcomputer.com/news/security/emotet-botnet-comeback-orchestrated-by-conti-ransomware-gang/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 23 ноя PM
    Корпоративный загрузчик "Emotet": история возвращения проекта "X" для программ-вымогателей

    Краткое содержание - Почему вернулся корпоративный погрузчик?

    Возврат 14 ноября Emotet (внутренний проект "X") коррелирует с двумя долгосрочными изменениями в экосистеме ransomware: 1) неудовлетворенным спросом на загрузчики, 2) снижением децентрализованной модели RaaS (Ransomware-as-a-Service), и возвращение монополии таких кибергрупп как Conti.

    AdvIntel считает, что именно бывшие участники Ryuk смогли убедить бывших операторов Emotet создать серверную часть и конструктор вредоносных программ из существующего проекта репозитория, чтобы вернуться в бизнес, чтобы восстановить триаду TrickBot-Emotet-Ryuk. Это партнерство позволяет синдикату Conti удовлетворить спрос на первоначальный доступ в промышленном масштабе, в то время как конкурирующим группам, таким как LockBit или HIVE, придется полагаться на отдельных низкокачественных брокеров доступа. В результате Conti может и дальше продвигаться к своей цели - стать монополистом в области программ-вымогателей.

    8dbcjmsat7l2.jpg

    14 ноября AdvIntel обнаружил возвращение загрузчика Emotet, который бездействовал с января 2021 года после того, как правоохранительные органы отключили его. Исследовательская гипотеза AdvIntel состоит в том, что это возвращение было сформировано современным ландшафтом программ-вымогателей и окажет большое влияние на развитие программ-вымогателей.

    Это возрождение Emotet, вероятно, вызовет самый большой сдвиг экосистемы угроз в 2021 году и в последующий период по трем причинам:

    Большие возможности загрузчика непрерывного действия Emotet

    Корреляция между этими возможностями и спросом на современном рынке киберпреступности.

    Возврат триады TrickBot-Emotet-Ransomware стал результатом первых двух пунктов.

    Emotet - «Самый опасный грузчик»

    Emotet - это ботнет-загрузчик и кибергруппа, управляющая этим ботнетом с использованием модели «загрузчик как услуга». Это означает, что Emotet предлагает возможности загрузчика для доставки полезной нагрузки своего клиента.

    Emotet удалось разработать эту модель (и выбрать «правильных» заказчиков программ-вымогателей); Министерство внутренней безопасности определило его как одну из самых дорогостоящих и разрушительных форм вредоносного ПО, не оставляющую в безопасности ни одного сектора - от правительства до частного сектора.

    Стратегическая, операционная и тактическая гибкость Emotet была реализована посредством модульной системы, позволяющей им адаптировать функциональность и специализацию полезной нагрузки к потребностям конкретных клиентов. В то же время операторы Emotet использовали понимание социальных проблем и конфликтов, что позволило им превратить социально-политическую сферу в оружие для кампаний по рассылке спама по электронной почте.

    В целом успех Emotet был обусловлен тремя факторами.

    1. Техническая доставка нагрузки.

    2. Творческий и настойчивый подход к распространению спама.

    3. Сотрудничество с такими группами, как TrickBot и Ryuk.

    Невыполненный «корпоративный» запрос на погрузчик

    Скорее всего, из-за того, что никакие другие группы не смогли воспроизвести такие возможности, после ухода из киберпространства в январе 2021 года Emotet оставил вакуум, который не был заполнен даже MASSLOADER, также известным как Hancitor. Другие бот-сети, такие как QBot, пытались вмешаться, но в значительной степени потерпели неудачу как постоянная и непрерывная система загрузки.

    Это привело к серьезным сбоям в цепочках поставок программ-вымогателей.

    После ликвидации Emotet спрос на эффективный источник высококачественного доступа и расширенного распространения не соответствовал нормальному предложению. Согласно конфиденциальной информации об источниках AdvIntel, даже группы высшего уровня, у которых есть свои площадки для организованных цепочек поставок доступа, такие как Conti (полагается на рассылку спама TrickBot, BazarLoader и Cobalt Strike) или DoppelPaymer (полагается на Dridex), выражают озабоченность по поводу отсутствия начальных доступов.

    Это несоответствие между спросом и предложением делает возрождение Emotet важным. По мере того, как этот ботнет возвращается, он может серьезно повлиять на всю среду безопасности, сопоставив фундаментальный пробел групп программ-вымогателей.

    Монополизация рынка программ-вымогателей

    Весной и летом 2021 года большинство основных групп программ-вымогателей как услуги (RaaS), включая REvil, Darkside, Avaddon, Blackmatter, Babuk и другие, ушли с криминального рынка. Оставшиеся группы, такие как LockBit и HIVE, столкнулись со значительным снижением выплат от жертв из-за широкого использования резервных копий и более продвинутой защиты.

    Этот спад RaaS приблизил ландшафт вымогателей к его форме до 2019 года, когда долгосрочные стратегические партнерства между высокоуровневыми организованными кибергруппами обеспечивали беспрецедентные доходы. Это, возможно, побудило более крупные группы, включая Conti, заполнявшую вакуум, оставленный REvil и другими RaaS, рассмотреть возможность восстановления связи с Emotet.

    Это перспективное партнерство может быть мотивировано крупным успехом предыдущего альянса, достигнутого в 2018 году между Emotet, TrickBot и Ryuk. Эти централизованные, высокоорганизованные группы с продвинутыми техническими и социальными навыками в первую очередь полагались на навыки шифрования, высокую дисциплину, командную работу, разделение труда и высочайшие уровни централизации и организации. Объединив усилия, они доминировали в киберпреступной среде вплоть до 2019 года.

    В 2019-2021 годах этой монополии бросили вызов RaaS, их децентрализованные филиалы, которые сделали упор на кражу данных, а не на их шифрование. Однако через два года эта модель оказалась нежизнеспособной.

    Мошенничество с выходом, отсутствие надлежащей координации и организации (жадные филиалы атакуют критически важные отрасли, такие как Colonial Pipeline), филиалы, использующие продавцов и брокеров с низким уровнем доступа, и другие организационные проблемы приводят к закрытию RaaS к концу 2021 года. Более того, простая кража данных, который был в центре моделей RaaS, вкратце привел к ситуации, когда жертвы просто позволяют преступникам сбрасывать данные и отказываются платить выкуп.

    С исчезновением RaaS традиционные группы: Ryuk (в форме Conti), TA505 и EvilCorp вернули себе господство в иерархии угроз. Они стали центром притяжения для талантливых специалистов по вредоносным программам, массово покидающих расформированные RaaS в поисках стабильной и упорядоченной операционной среды.

    Эта новая среда сделала возвращение Emotet долгожданным событием. По мнению Conti имел все возможности снова обратиться к Emotet, и они поддерживали альянс с TrickBot. Emotet был последней недостающей частью.

    Заключение

    Возвращение Emotet не случайно, оно вызвано серьезными сдвигами в общей сфере киберпреступности. Растущая монополизация мира программ-вымогателей, который быстро завоевывают лишь несколько высокоорганизованных преступных корпораций, открывает лучшие возможности для таких групп как разработчики ботнета Emotet.

    Более крупные организованные кибергруппы имеют более высокую прибыль, работая вместе в связях. Это было доказано альянсом TrickBot, Emotet и Ryuk: трех основных игроков иерархии киберпреступности до 2019 года. В конце 2021 года, когда более мелкие игроки теряют свое влияние, а более крупные становятся еще крупнее, новый союз между TrickBot, Emotet и Conti становится логическим путем.

    Это может стать крупнейшим изменением киберугроз за последние пять лет с тех пор, как Emotet попытались удалить в январе 2020 года.

    https://www.advintel.io/post/corporate-loader-emotet-history-of-x-project-return-for-ransomware
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Emotet теперь распространяется через поддельные пакеты установщика приложений Adobe Windows

    Вредоносная программа Emotet теперь распространяется через вредоносные пакеты Windows App Installer, которые выдают себя за программное обеспечение Adobe PDF.

    Эта новая кампания Emotet начинается с украденных писем с цепочкой ответов, которые появляются как ответ на существующий диалог.

    В этих ответах получателю просто предлагается «см. Прикрепленный файл» и содержится ссылка на предполагаемый PDF-файл, связанный с перепиской по электронной почте.

    При нажатии на ссылку пользователь попадает на поддельную страницу Google Диска, где ему предлагается нажать кнопку для предварительного просмотра PDF-документа.

    Эта кнопка «Предварительный просмотр PDF» представляет собой URL-адрес ms-appinstaller, который пытается открыть файл appinstaller, Файл appinstaller - это просто файл XML, содержащий информацию о подписанном издателе и URL-адрес приложения, которое будет установлено.

    При попытке открыть файл .appinstaller браузер Windows предложит вам открыть программу Windows App Installer, чтобы продолжить.

    Как только вы согласитесь, вам будет показано окно установщика приложения с предложением установить «Adobe PDF Component».

    install-prompt.jpg

    Вредоносный пакет выглядит как законное приложение Adobe, поскольку у него есть законный значок Adobe PDF, действующий сертификат, помечающий его как «Надежное приложение», и поддельная информация об издателе. Этого типа проверки в Windows более чем достаточно, чтобы многие пользователи доверяли приложению и устанавливали его.

    Как только пользователь нажимает кнопку «Установить», установщик приложений загружает и устанавливает вредоносный пакет приложений

    Этот процесс также скопирует DLL как файл и папку со случайным именем в% LocalAppData%, как показано ниже.

    Наконец, будет создан автозапуск в HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run для автоматического запуска DLL при входе пользователя в Windows.

    registry-editor.jpg

    Emotet был самым распространенным вредоносным ПО в прошлом, пока правоохранительные органы не остановили его и не захватили инфраструктуру ботнета. Десять месяцев спустя Emotet был воскрешен, поскольку он начал восстанавливаться с помощью трояна TrickBot.

    Днем позже начались спам-кампании Emotet, когда электронные письма попадали в почтовые ящики пользователей с различными приманками и вредоносными документами, которые устанавливали вредоносное ПО.

    Эти кампании позволили Emotet быстро расширить свое присутствие и снова провести крупномасштабные фишинговые кампании с установкой TrickBot и Qbot.

    Кампании Emotet обычно приводят к атакам программ-вымогателей. Администраторы Windows должны следить за методами распространения вредоносных программ и обучать сотрудников обнаруживать кампании Emotet.

    https://www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.