Po skoordynowanej akcji służb ze stycznia 2021 r. i usunięciu infrastruktury należącej do hakerów po raz pierwszy zarejestrowano nowe warianty szkodliwego oprogramowania z rodziny Emotet. Malware ten od lat jest uniwersalną bronią cyberprzestępców.
Emotet jest wg. wielu ekspertów uważany za jedną z najniebezpieczniejszych rodzin złośliwego oprogramowania, ponieważ wykorzystywany jest jako furtka do ataków na sieci firmowe każdej wielkości. Po pierwszej fazie ataku i infekcji złośliwym programem zaatakowane firmy dość często były szantażowane z pomocą wirusów szyfrujących.
Wspólne działania policji z kilku krajów i „uśmiercenie” Emotetu pozwoliło nam złapać oddech i już trochę zapomnieć o tym zagrożeniu na wiele miesięcy. Jednocześnie ta brawurowa akcja uratowała wiele potencjalnych ofiar przed startami finansowymi i wizerunkowymi. Jeszcze raz chciałbym pogratulować wszystkim zaangażowanym w tę wygraną bitwę z cyberprzestępcami. Niemniej jednak z naszych obecnych analiz wynika, że Emotet powrócił – niezbicie obrazuje nam to ręczna analiza aktualnych próbek złośliwego oprogramowania.
Dr. Tilman Frosch
Dyrektor Zarządzający G DATA Advanced Analytics
Nowa próbka Emotet ma kilka technicznych podobieństw do oryginalnego złośliwego oprogramowania. W szczególności porównanie kodu źródłowego pokazuje podobne struktury. Ale znajdziemy także różnice w przeciwieństwie do wcześniej znanych wariantów Emotet jak np. to, że ruch sieciowy jest nadal szyfrowany przez HTTPS, jednak przy użyciu certyfikatu self-signed.
Jak dotąd nie wykryto żadnych godnych uwagi działań spamowych związanych z Emotetem. Według aktualnej wiedzy Emotet korzysta z infrastruktury szkodliwego oprogramowania Trickbot – jego własny botnet został najwyraźniej trwale zniszczony w trakcie likwidacji. Co ważne – klienci G DATA są chronieni przed nowymi wariantami Emotet.
Szczegółowy analizę nowej wersji Emotet możecie znaleźć na blogu naszej spółki zależnej G DATA Advanced Analytics. Wpis w języku angielskim – Guess who’s back – cyber.wtf