Уничтоженный в начале 2021 года в результате масштабной операции правоохранительных органов, Эмотет возвращается с новой версией... Еще более опасной?
По мнению многих экспертов по компьютерной безопасности, вредоносная программа Emotet была самой серьезной угрозой с момента ее первого появления в 2014 году и до ее уничтожения, о котором 27 января объявил Европол. Полицейские силы решили действовать после того, как осенью 2020 года активность вредоносной программы возросла, и им удалось не только остановить ее распространение, но и значительно снизить ее уровень. Обманчивый успех.
Это наша 3-я годовщина Cryptolaemus1. Спасибо всем, кто следил за нами и делился информацией последние 3 года! Чтобы отпраздновать это событие, Иван выпустил новую версию Emotet, потому что он чувствует себя обделенным и хочет быть частью вечеринки. Более подробная информация скоро появится. Как всегда смотрите URLHaus pic.twitter.com/Qwvel32ibB
- Cryptolaemus (@Cryptolaemus1) 15 ноября 2021г
Действительно, за последние несколько недель несколько специалистов отметили возрождение активности вредоносной программы. Группа исследователей Cryptolaemus оповестила об этом через Twitter 15 ноября, упомянув о новой версии Emotet. Cryptolaemus уточняет, что эта новая версия "перенесена" другой известной вредоносной программой, Trickbot. Эту информацию подтверждают и другие эксперты по безопасности, такие как GData и Advanced Intel, которые сообщают некоторые подробности.
Компании GData и Advanced Intel считают, что "новый Эмотет" более эффективен, чем его предшественник. В частности, он использует систему шифрования HTTPS для шифрования трафика между управляющими серверами вредоносной программы и новыми зараженными машинами. В прошлом можно было использовать только простой протокол HTTP. Crytpolaemus также утверждает, что командный буфер более сложный, чем в предыдущей версии вредоносной программы: "Теперь мы можем подтвердить, что командный буфер был изменен. Теперь он содержит 7 команд по сравнению с 3-4 в предыдущих версиях ".
Свежие, активные C2-серверы ботнета Emotet теперь попадают в Feodo Tracker ??️
Мы призываем вас *БЛОКИРОВАТЬ* эти серверы C2 и регулярно обновлять список блокировки, чтобы получить максимальную защиту!
? https://t.co/if21bBHTpo pic.twitter.com/sdySouHxxb
- abuse.ch (@abuse_ch) 15 ноября 2021г
Согласно Cryptolaemus, первые волны заражения датируются сентябрем 2021 года, и исследователи объясняют, что они наблюдали большие волны подозрительных электронных писем. Помните, что зараженные вложения или поврежденные HTTP-ссылки остаются предпочтительными средствами распространения вредоносного ПО. И снова, чтобы избежать заражения, самый безопасный способ - не доверять вложениям в получаемых вами электронных письмах и внимательно изучать характер ссылки, прежде чем нажать на нее. Еще большая осторожность требуется в отношении "нового Emotet", который, похоже, уже заразил множество машин: исследователи сообщают о более чем 246 машинах, действующих как серверы управления для многих других.
