Potrivit Check Point Research, există un potențial de creștere a atacurilor ransomware datorită noilor mostre Emotet răspândite prin Trickbot și Qakbot; s-a constatat că cele mai noi versiuni se folosesc de beacon-ul Cobalt Strike.
Check Point Research estimează că 140.000 de victime au fost vulnerabile la Trickbot, în 149 de țări în doar 10 luni, în ciuda distrugerii lui Emotet de către forțele de ordine.
Țintele de top ale Trickbot sunt guvernele, finanțele și industria producătoare. Aproape o treime din toate țintele Trickbot sunt localizate în Portugalia și SUA, în timp ce victimele din industriile de profil înalt reprezintă mai mult de 50% din totalul victimelor.
În urma acțiunilor internaționale coordonate de Europol și Eurojust, la începutul anului 2021, care au dus la distrugerea infrastructurii Emotet și la arestarea a două persoane, la 15 noiembrie 2021, stațiile infectate cu Trickbot au început să răspândească Emotet prin determinarea utilizatorilor să descarce fișiere zip care conțin documente malițioase menite să reconstruiască botnet-ul Emotet.
Identificat pentru prima dată în 2014, Emotet a fost actualizat în mod regulat de către dezvoltatorii săi pentru a-și menține eficiența în acivitățile malițioase.
Emotet este una dintre cele mai costisitoare și distructive variante de malware văzute vreodată. Departamentul Homeland Security a estimat că fiecare incident care implică Emotet costă organizațiile peste 1 milion de dolari pentru a fi remediat.
„Emotet a fost cea mai puternică rețea de boti din istoria criminalității cibernetice, cu o bază bogată de infecții. Acum, Emotet și-a revândut baza de infecție altor actori de amenințări cibernetice pentru a-și răspândi programe malware și, de cele mai multe ori, a fost o bandă de ransomware”, spune Lotem Finkelstein, șeful departamentului de informații al Check Point Software.
”Emotet este cel mai bun indicator al nostru pentru viitoarele atacuri ransomware. Ar trebui să tratăm infecțiile cu Emotet și Trickbot ca și cum ar fi ransomware. În caz contrar, este doar o chestiune de timp până să avem de a face cu un atac ransomware real.” susțin cei de la Check Point Research.
Revenirea lui Emotet este un semn de avertizare major cu privire la creștere a atacurilor ransomware în anul 2022.
Trickbot facilitează revenirea lui Emotet, a colaborat întotdeauna cu acesta, fiind utilizat ca și dropper. Acest lucru i-a permis lui Emotet să înceapă de la o poziție fermă, în doar două săptămâni, a revenit printre cele mai populare malware-uri.
Conform Check Point Research Emotet se va răspândi rapid prin creșterea activității Trickbot, indicând potențialul de extindere a atacurilor ransomware. Odată descris drept „cel mai periculos malware din lume”, Emotet oferă atacatorilor un backdoor către stațiile compromise, care ar putea fi închiriate și folosite în campaniile ransomware.
Emotet nu este un botnet singular, este defapt compus din mai multe rețele separate fiecare cu servere C2, campanii spam și alte infrastructuri. Rețelele sunt identificate sub denumirile Epoch1, Epoch2, Epoch3, cele mai recente fiind Epoch4 și Epoch5 unde sunt livrate stațiilor infectate beacon-urile Cobalt Strike.
Ca întotdeauna, instruirea cuprinzătoare pentru angajați este crucială, astfel încât aceștia să fie capabili să identifice tipurile de e-mailuri rău intenționate care răspândesc troieni și boți ascunși.