Emotet Muncul Kembali di Belakang TrickBot Setelah Hampir Setahun

Emotet, salah satu sistem pengiriman malware botnet yang paling produktif dan mengganggu, tampaknya muncul kembali setelah hampir satu tahun tidak aktif, menurut temuan para peneliti. tampaknya menjadi pemuat baru untuk malware terkenal, kata mereka secara terpisah di Twitter dan dalam posting blog.

“Kami memiliki alasan untuk berasumsi dengan keyakinan tinggi bahwa #Emotet aktif kembali dan saat ini didistribusikan melalui #Trickbot,” G DATA Advanced Analytics memposting di feed Twitter-nya.
Daftar sekarang untuk acara LIVE kami!

“2021-11-14: Program ‘#Emotet partner ($) loader’ tampaknya menggunakan [SIC] dari infeksi #TrickBot yang ada,” CEO AdvIntel Vitali Kremez juga mengonfirmasi melalui Indonesia. “TrickBot meluncurkan apa yang tampak sebagai pemuat Emotet yang lebih baru.”

Posting blog dari peneliti di G DATA memiliki informasi paling detail tentang apa yang turun. Ini menjelaskan bahwa pada hari Minggu sekitar pukul 9:26 UTC, para peneliti mengamati pada beberapa pelacak TrickBot upaya untuk mengunduh DLL ke sistem, tulis Luca Ebach dari G DATA.

“Menurut pemrosesan internal, DLL ini telah diidentifikasi sebagai Emotet,” dia wrote.

Karena Emotet sebagian besar dibongkar awal tahun ini oleh upaya penegakan hukum internasional, para peneliti mengatakan mereka “mencurigakan tentang temuan” dan melakukan verifikasi lebih lanjut dari kegiatan tersebut. Setelah melakukannya, mereka mengatakan dengan “keyakinan tinggi” bahwa “sampel tersebut memang tampaknya merupakan reinkarnasi dari Emotet yang terkenal” tetapi akan melakukan analisis lebih lanjut, tulis Ebach.

Evolusi Cyberthreat

Emotet memulai kehidupan sebagai trojan perbankan pada tahun 2014 dan terus berkembang menjadi mekanisme penyampaian ancaman layanan lengkap. Itu dapat menginstal kumpulan malware pada mesin korban, termasuk pencuri informasi, pemanen email, mekanisme propagasi diri dan ransomware, yang terakhir berada pada rekor tertinggi dalam hal volume dan saat ini merupakan ancaman dunia maya yang paling mengkhawatirkan penegakan hukum internasional.

Emotet terakhir terlihat dalam volume yang mencapai 100.000 kotak surat target sehari untuk mengirimkan TrickBot, Qakbot, dan Zloader pada Desember 2020 menjelang liburan Natal. Sebelum itu pada bulan Oktober menargetkan relawan untuk Komite Nasional Demokrat (DNC); sebelumnya, itu menjadi aktif pada bulan Juli tahun itu setelah jeda lima bulan, menjatuhkan trojan TrickBot.

Emotet tampaknya dikeluarkan dari komisi oleh pencopotan kolaboratif penegakan hukum internasional dari jaringan ratusan server botnet yang mendukung sistem di Januari 2021. Upaya tersebut menghilangkan infeksi aktif di lebih dari 1 juta titik akhir di seluruh dunia, kata mereka.

Sekarang tampaknya telah muncul kembali menggunakan TrickBot mitra-dalam-kejahatan yang sudah dikenal, dengan keduanya memiliki riwayat bekerja sama. Seringkali, Emotet menggunakan jaringannya yang luas untuk mengirimkan TrickBot sebagai muatan dalam kampanye phishing email yang ditargetkan, meskipun TrickBot juga di masa lalu telah mengirimkan sampel Emotet – yang tampaknya menjadi kasus sekali lagi.

Peneliti merinci kesamaan antara sampel Emotet sebelumnya dan yang mereka amati dijatuhkan oleh TrickBot pada hari Minggu. Salah satu cirinya adalah bahwa lalu lintas jaringan yang berasal dari sampel sangat mirip dengan apa yang telah diamati sebagai perilaku Emotet sebelumnya, seperti yang dijelaskan oleh Kaspersky Labs, tulis Ebach.

“URL berisi jalur sumber daya acak dan bot mentransfer muatan permintaan dalam cookie ,” dia menulis. “Namun, enkripsi yang digunakan untuk menyembunyikan data tampaknya berbeda dari apa yang telah diamati di masa lalu. Selain itu, sampel sekarang menggunakan HTTPS dengan sertifikat server yang ditandatangani sendiri untuk mengamankan lalu lintas jaringan.”

“Karakteristik penting” lain dari Emotet adalah “penggunaan besar-besaran perataan aliran kontrol untuk mengaburkan kode,” kata Ebach. Sampel saat ini juga berisi aliran kontrol yang rata, katanya.

Phishing Onslaught Ahead?

Berita ini telah membuat para profesional keamanan gemetar, yang, tidak terkejut dengan kemunculan kembali Emotet, sangat akrab dengan gangguan yang dapat ditimbulkannya saat sudah penuh. power.

“Emotet pernah menjadi ‘malware paling berbahaya di dunia,`” kata James Shank, penginjil keamanan senior dan kepala arsitek layanan komunitas di firma keamanan Team Cymru, dalam email ke Threatpost. Namun, itu akan memakan waktu cukup lama sebelum versi terbarunya mampu menghasilkan tingkat kerusakan yang serupa, tambahnya. tampaknya ada kode yang tumpang tindih antara versi lama dan terbaru. “Tanda tangan lama yang ditulis untuk mendeteksi versi pertama Emotet juga mendeteksi varian ini, dalam beberapa kasus,” katanya.

Untungnya, karena botnet akan membutuhkan waktu untuk mendapatkan kekuatan, organisasi masih memiliki ruang bernapas untuk menopang pertahanan, catat yang lain. security professional.

“Ini akan memakan waktu untuk membangun ke ukuran sebelumnya,” Eric Kron, advokat kesadaran keamanan di perusahaan keamanan KnowBe4, menulis dalam email ke Threatpost. “Sayangnya, kita dapat berharap untuk melihat perangkat yang terinfeksi ini digunakan untuk meningkatkan penyebaran ransomware, yang sudah di luar kendali.”

Organizations sudah dapat mengatasi ancaman dengan berfokus pada pelatihan tenaga kerja mereka tentang bahaya ancaman email serta menopang pemantauan jaringan, karena Emotet menyebarkan infeksi terutama melalui kampanye phishing, kata Kron.

“Organisasi yang bijaksana akan melibatkan pengguna dalam pelatihan kesadaran keamanan dan kampanye pengujian simulasi dalam upaya membantu mereka mengasah keterampilan mereka dalam mengenali dan melaporkan email phishing,” dia dikatakan. “Selain itu, melacak server perintah dan kontrol yang baru ditemukan, memperingatkan dan memblokir lalu lintas ke server tersebut, dapat sangat mengurangi risiko infeksi.”

Ingin memenangkan kembali kendali atas kata sandi lemah yang ada di antara jaringan Anda dan serangan siber berikutnya? Bergabunglah dengan Darren James, kepala TI internal di Specops, dan Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, untuk mengetahui caranya selama acara LIVE Threatpost gratis, “Reset Kata Sandi: Mengklaim Kontrol Kredensial untuk Menghentikan Serangan,” pada Rabu ., 17 November jam 2 siang ET. Disponsori oleh Specops.

Daftar SEKARANG untuk acara LIVE!
Tulis komentar
Bagikan artikel ini:

  • Malware
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: