Emotet Botnet возвращается, серверы активны по всему миру

Ионут Илашку
  • 23 августа 2019 г.
  • 08:31
  • 0

Похоже, что серверы управления и контроля (C2) для ботнета Emotet возобновили работу и снова доставили двоичные файлы. Это происходит после того, как он стал инертным с начала июня.

Несмотря на то, что Emotet начал свою деятельность в качестве банковского трояна в 2014 году, он изменил свой курс на создание бот-сети, предоставляющей различные виды вредоносного ПО.

Emotet теперь является одной из главных угроз, его инфраструктура используется для распространения Trickbot, еще одного банковского трояна, а затем для распространения вымогателей Ryuk. Эта комбинация называется «тройная угроза» и затронула государственные администрации в США.

Emotet перерыв окончен

Исследователи заметили, что операторы Emotet взяли паузу в начале июня, и правильно предположили, что это продлится недолго. С тех пор новых кампаний не наблюдалось, и общее мнение в сообществе infosec состояло в том, что серверы не обслуживались.

Cofense Labs заметила, что инфраструктура бот-сети C2 возродилась пару дней назад, в 3 часа дня по восточному поясному времени.

Читайте так же

Отдел 2 ВНИЗ — Аварийное обслуживание сервер... DIVISION 2 снова отключается для обслуживания сервера, поскольку Ubisoft решает проблему с новой проблемой. Дивизион 2 снова отключается (Изображение...
Fallout 76 ЗАМЕЧАНИЯ ПО ПАТЧУ — 9 апреля обн... FALLOUT 76 добавляет новый контент Wild Appalachia как часть патча 8 для PS4, Xbox One и ПК. Обновление Fallout 76 (Изображение: BETHESDA) Сегодня F...
По словам HMD Global, устройства Nokia 7 Plus отпр... Особенности В докладе говорится, что телефоны Nokia тайно отправляли информацию в Китай. HMD Global сообщает, что никакие личные данные не были ...

Ботнет Emotet вчера возник из могилы и начал обслуживать новые двоичные файлы. Мы заметили, что серверы C2 начали доставлять ответы на запросы POST около 3:00 по восточному времени 21 августа. Будьте бдительны и следите за любыми обновлениями, так как мы следим за любыми изменениями.

Список серверов, которые, по-видимому, являются активными, доступен здесь и в конце статьи, которую онлайн-аналитики Black Lotus Labs увидят 22 августа. Аналитики вредоносных программ уже отслеживают их.

По данным службы гео-IP MaxMind, адреса поступают из США, Венгрии, Франции, Германии, Индии, Бельгии, Польши, Мексики, Аргентины и Австралии.

Исследователь безопасности MalwareTech заметил новую активность и говорит, что там он до сих пор не записывал новые бинарные файлы, только свежую активность с серверов.

Пока нет новых двоичных файлов бота, но C2 реагируют впервые за несколько месяцев.

Джозеф Роосен, член команды Cryptolaemus, отслеживающей активность Emotet, подтвердил, что в настоящее время ботнет не выпускает новые двоичные файлы. Причина в том, что для возобновления операций требуется время для восстановления ботнета, очистки его от ботов от исследователей безопасности и подготовки спам-кампаний.

Другой исследователь безопасности, Benkøw, предоставляет список размером в твиттере этапов, необходимых для возрождения вредоносной активности:

Читайте так же

Вредоносные серверы Counter-Strike 1.6 использовал... Dr.Web: 39 процентов всех серверов Counter-Strike 1.6 были вредоносными и пытались заразить пользователей вредоносным ПО. Каталин Чимпану за нулевой ...
Fortnite может добавить выделенный индийский серве... Fortnite может добавить выделенный индийский сервер в ближайшее время Наличие сервера в Мумбаи будет означать, что индийские игроки на Fortnite получ...
Fallout 76 ЗАМЕЧАНИЯ ПО ПАТЧУ — 9 апреля обн... FALLOUT 76 добавляет новый контент Wild Appalachia как часть патча 8 для PS4, Xbox One и ПК. Обновление Fallout 76 (Изображение: BETHESDA) Сегодня F...

Они повторно используют старые IP-адреса, поэтому им нужно время, чтобы:
— Захватите старых / новых ботов (это пятница, это не славный день для ботнетов)
— удали ВСЕ AV боты с сегодняшнего дня на панели LOL
— Запустите несколько тестов для обхода антиспам-продукта
— Подготовьте кампанию для следующих Клиентов
и т. д. требуется время

Помимо этого, распространение также является аспектом, который необходимо учитывать операторам, и это также занимает некоторое время, добавляет JTHL, также являющийся членом команды Cryptolaemus.

MalwareTech также заметил активность Emotet в нескольких географических точках, включая Бразилию, Мексику, Германию, Японию и США.

Исследователи ожидают, что скоро начнутся новые кампании Emotet, учитывая внезапную интенсивную активность и большое количество источников. Кевин Бомонт считает, что операторы будут придерживаться той же бизнес-модели и распространять вымогателей.

IoC:

Обновление [23.08.2009, 10:14 EST]: Статья обновлена ​​новой информацией от членов команды Cryptolaemus.

Читайте так же

Fallout 76 DOWN Состояние сервера последнее и прим... FALLOUT 76 прямо сейчас недоступен на PS4, Xbox One и компьютерах перед выпуском обновления Wild Appalachia. вот последние заметки о патче и статус се...
По словам HMD Global, устройства Nokia 7 Plus отпр... Особенности В докладе говорится, что телефоны Nokia тайно отправляли информацию в Китай. HMD Global сообщает, что никакие личные данные не были ...
Fallout 76 ЗАМЕЧАНИЯ ПО ПАТЧУ — 9 апреля обн... FALLOUT 76 добавляет новый контент Wild Appalachia как часть патча 8 для PS4, Xbox One и ПК. Обновление Fallout 76 (Изображение: BETHESDA) Сегодня F...