มัลแวร์ Emotet เป็นมัลแวร์ที่พบการแพร่กระจายเป็นจำนวนมากในอดีตที่ผ่านมา โดยใช้แคมเปญสแปม และไฟล์แนบที่เป็นอันตรายเพื่อแพร่กระจายมัลแวร์
Emotet จะใช้เครื่องที่ติดไวรัสเพื่อโจมตีต่อด้วยแคมเปญสแปมอื่นๆ และติดตั้งเพย์โหลดอื่นๆ เช่น QakBot (Qbot) และมัลแวร์ Trickbot จากนั้นเพย์โหลดเหล่านี้จะถูกนำมาใช้เพื่อทำให้ผู้โจมตีสามารถเข้าถึงเครื่องเหล่านี้เพื่อติดตั้งแรนซัมแวร์ต่อไป เช่น Ryuk, Conti, ProLock, Egregor และอื่นๆ อีกมากมาย
เมื่อช่วงต้นปีที่ผ่านมา มีการบังคับใช้กฎหมายระหว่างประเทศซึ่งดำเนินการโดย Europol และ Eurojust เข้าควบคุมระบบ Infrastructure ของ Emotet และมีการจับกุมผู้ที่เกี่ยวข้องได้ 2 คน โดยหน่วยงานด้านกฎหมายของเยอรมนีใช้ระบบ Infrastructure ของ Emotet เอง เพื่อถอนการติดตั้งมัลแวร์จากอุปกรณ์ที่ถูกควบคุมโดย Emotet ทั้งหมดเมื่อวันที่ 25 เมษายน 2021
Emotet ได้กลับมาหลังจากการถูกจับครั้งล่าสุด
นักวิจัยจาก Cryptolaemus, GData และ Advanced Intel เริ่มพบเห็นมัลแวร์ TrickBot dropping Loader ของ Emotet บนอุปกรณ์ที่ติดไวรัส
ที่ผ่านมา Emotet ได้ใช้ TrickBot ซึ่งนักวิจัยจาก Cryptolaemus จะเรียกวิธีการที่ผู้โจมตีใช้ลักษณะนี้ว่า "Operation Reacharound" ซึ่งจะทำการสร้าง Botnet ขึ้นมาใหม่โดยใช้ Infrastructure ที่มีอยู่แล้วของ TrickBot
Joseph Roosen ผู้เชี่ยวชาญด้าน Emotet และนักวิจัยจาก Cryptolaemus บอกกับ BleepingComputer ว่าพวกเขาไม่เห็นสัญญาณอื่นๆจาก Emotet ในการกลับมาใช้สแปม หรือไฟล์อันตรายในการแพร่กระจายตัวมัลแวร์
การที่ยังไม่ค่อยพบแพร่กระจายจากการสแปม น่าจะเกิดจากการที่ Emotet ต้องเริ่มสร้างระบบของตนขึ้นใหม่ตั้งแต่ต้น ซึ่งหลังจากนี้อาจจะเริ่มพบเห็นแคมเปญสแปมเพิ่มขึ้นจากปฏิบัติการเข้ายึดอีเมลจากผู้ตกเป็นเหยื่อหลังจากนี้
Cryptolaemus กลุ่มนักวิจัย Emotet ได้เริ่มวิเคราะห์ Emotet loader ใหม่และบอกกับ BleepingComputer ว่ามีข้อมูลเปลี่ยนแปลงเมื่อเทียบกับข้อมูลก่อนหน้านี้
นักวิจัยของ Cryptolaemus กล่าวกับ BleepingComputer ว่า "จนถึงตอนนี้ เราสามารถยืนยันได้แล้วว่า Command buffer มีการเปลี่ยนแปลง โดยตอนนี้มี 7 commands แทนที่จะเป็น 3-4 commands ดูเหมือนว่าจะมีตัวเลือกการ execution ต่างๆ สำหรับไบนารีที่ดาวน์โหลด (เพราะไม่ใช่แค่ dlls)"
Vitali Kremez ของ Intel ได้วิเคราะห์ Emotet dropper ตัวใหม่และเตือนว่าการกลับมาของ botnet มัลแวร์อาจนำไปสู่การติด ransomware ที่เพิ่มขึ้น
Kremez บอกกับ BleepingComputer ว่า Emotet loader DLL ปัจจุบันมี timestamp เป็น "6191769A (วันอาทิตย์ที่ 14 พ.ย. เวลา 20:50:34 ปี 2021)"
การป้องกัน Emotet botnet ตัวใหม่
Abuse.ch องค์กรไม่แสวงหากำไรที่ติดตามมัลแวร์ได้เผยแพร่รายการ Command and control servers ที่ใช้โดย Emotet botnet ตัวใหม่และแนะนำให้ผู้ดูแลระบบเครือข่ายบล็อก IP addresses ที่เกี่ยวข้อง รายละเอียดสามารถดูได้ที่ feodotracker
Infrastructure ใหม่ของ Emotet กำลังเติบโตอย่างรวดเร็ว โดยมีอุปกรณ์ที่ติดไวรัสมากกว่า 246 เครื่องทำหน้าที่เป็น Command and control servers
ที่มา: bleepingcomputer