Världens farligaste botnet – Emotet – har startats upp igen

av Mikael Winterkvist | nov 18, 2021 | Säkerhet

Emotet, ett stort botnet, stängdes ned av polis och myndigheter tidigare i år efter att ha lyckats att smitta över en miljon Windows-datorer med skadlig kod. Nu varnar säkerhetsforskare för att Emotet startats upp igen.

Tidigt i våras så togs nätet ned, Emotet togs över av Europol i en samordnad insats. Då hade detta botnet, en stor samling av kapade enheter, smittat över en miljon Windows-datorer med skadlig kod. Nu ser det ut som att nätet har. börjat att aktiveras igen, nu med hjälp av andra program och ”bottar”.

Listorna

I kartläggningen av nätet så har listorna på de datorer (kapade) som används uppdaterats och det är en lista som nu växer, flera enheter läggs till i nätet.

Fresh, active Emotet botnet C2 servers are now being pushed to Feodo Tracker 💪🛡️

👉 https://t.co/TvIJyqHYVs

We urge you to *BLOCK* these C2 servers and regularly update your block list to receive the maximum protection!

👉 https://t.co/if21bBHTpo pic.twitter.com/sdySouHxxb

— abuse.ch (@abuse_ch) November 15, 2021

Så här långt så har Emotet inte använt i några attacker, inte skickat ut spam eller attacker mot andra och andras datorsystem. Däremot finns det tecken på att nättet byggts ut och att fler kommandon har lagts till:

While in the past Emotet installed TrickBot, the threat actors are now using a method that the Cryptolaemus group calls ”Operation Reacharound,” which rebuilds the botnet using TrickBot’s existing infrastructure

Emotet expert and Cryptolaemus researcher Joseph Roosen told BleepingComputer that they had not seen any signs of the Emotet botnet performing spamming activity or found any malicious documents dropping the malware.

This lack of spamming activity is likely due to the rebuilding of the Emotet infrastructure from scratch and new reply-chain emails being stolen from victims in future spam campaigns.

Cryptolaemus has begun analyzing the new Emotet loader and told BleepingComputer that it includes new changes compared to the previous variants.

”So far we can definitely confirm that the command buffer has changed. There’s now 7 commands instead of 3-4. Seems to be various execution options for downloaded binaries (since its not just dlls),” Cryptolaemus researchers told BleepingComputer.

Länkar

ZDNet
Bleeping Computer

0 kommentarer

Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________