Cyber-Sicherheitsexperten haben wieder einmal festgestellt, dass Bedrohungsakteure Malware abwerfen, um das berüchtigte Emotet-Botnetz neu zu starten.
Im Januar dieses Jahres schlossen sich die Strafverfolgungsbehörden in Europa und Nordamerika zu einer koordinierten Aktion zusammen, um das Emotet-Botnetz zu zerstören und zu entfernen.
Allerdings haben mehrere Anbieter und Sicherheitsexperten, darunter Cryptolaemus, GData und Advanced Intel, Aktivitäten entdeckt, die auf die bevorstehende Rückkehr von Emotet hindeuten.
„Am Sonntag, dem 14. November, gegen 9:26 Uhr UTC beobachteten wir in mehreren unserer Trickbot-Crawler, dass der Bot versuchte, eine DLL auf das System herunterzuladen. Basierend auf der internen Verarbeitung wurden diese DLLs als Emotet identifiziert … Wir sind derzeit davon überzeugt, dass die Proben eine Reinkarnation des berüchtigten Emotet zu sein scheinen“, sagt GData.
Von den Toten?
Emotet-Malware war zur Lösung der Wahl für Cyberkriminelle geworden, die ihre Infrastruktur nutzten, um sich weltweit Zugriff auf Zielsysteme zu verschaffen. Die Betreiber verkauften diesen Zugang dann an andere Cyberkriminalitätsgruppen für den Einsatz von Ransomware, darunter Ryuk, Conti, ProLock, Egregor und mehrere andere.
BleepingComputer berichtet über die Entwicklung und stellt fest, dass die Bedrohungsakteure hinter der Wiederbelebung von Emotet nun in einer offensichtlichen Änderung ihrer Taktik eine Methode namens „Operation Scope“ verwenden, um das Emotet-Botnetz unter Verwendung der vorhandenen Infrastruktur von Emotet neu aufzubauen. TrickBot.
Die Forschungsgruppe Emotet Cryptolaemus hat mit der Analyse des neuen Emotet-Loaders begonnen und dabei Veränderungen im Vergleich zur Vergangenheit festgestellt.
„Bisher können wir mit Sicherheit bestätigen, dass sich der Befehlspuffer geändert hat. Es gibt jetzt 7 Befehle statt 3-4. Es scheint mehrere Ausführungsoptionen für die heruntergeladenen Binärdateien zu geben (da es sich nicht nur um DLLs handelt)“, so die Forscher bei Cryptolaemus. .
Die Forscher fügten außerdem hinzu, dass sie zwar keine Anzeichen von Spam-Aktivitäten des Emotet-Botnetzes gesehen oder schädliche Dokumente gefunden hätten, die die Malware verbreiten, dies aber nur eine Frage der Zeit sei.
„Dies ist ein Vorbote einer möglichen bevorstehenden Emotet-Malware-Aktivität, die angesichts der Knappheit des Product Loader-Ökosystems große Ransomware-Operationen auf der ganzen Welt anheizt“, sagte Vitali Kremez von Intel gegenüber BleepingComputer.
Es ist an der Zeit, mit diesen besten Firewall-Apps und -Diensten die Luken zu schließen und sicherzustellen, dass Ihre Computer mit diesen besten Endpunktschutz-Tools geschützt sind.