มัลแวร์ Emotet กำลังถูกนำมาใช้โดยกลุ่ม ransomware-as-a-service (RaaS) ซึ่งรวมไปถึงกลุ่ม Quantum และ BlackCat หลังจากที่ Conti ยกเลิกปฏิบัติการไปในปีนี้
Emotet เริ่มจากการเป็นโทรจันเพื่อใช้โจมตีธนาคารในปี 2557 แต่การอัปเดตครั้งล่าสุดทำให้มันกลายเป็นภัยคุกคามที่มีความรุนแรงสูงซึ่งสามารถใช้เพื่อดาวน์โหลดเพย์โหลดอื่น ๆ ลงในเครื่องของเหยื่อ ซึ่งจะทำให้ผู้โจมตีสามารถควบคุมเครื่องของเหยื่อจากระยะไกลได้
AdvIntel รายงานว่า ตั้งแต่เดือนพฤศจิกายน พ.ศ. 2564 จนถึงมิถุนายน พ.ศ. 2565 Emotet ถือเป็นเครื่องมือโดยเฉพาะของกลุ่ม Conti ransomware แต่หลังจากการยุติปฏิบัติการไป Emotet ก็ถูกใช้เป็นเครื่องมือจากกลุ่ม Quantum และ BlackCat ransomware ในการโจมตีแทน
การโจมตีที่เกี่ยวข้องกับการใช้ Emotet หรือที่เรียกว่า SpmTools ถูกใช้เป็นจุดเริ่มต้นเพื่อติดตั้ง Cobalt Strike ซึ่งจะถูกใช้เป็นเครื่องมือสำหรับการโจมตีของแรนซัมแวร์
Quantum เป็นกลุ่มย่อยของ Conti ซึ่งในช่วงหลายเดือนที่ผ่านมาได้ใช้ call-back phishing ที่เรียกว่า BazaCall หรือ BazarCall เพื่อโจมตีเครือข่ายเป้าหมาย
AdvIntel ระบุว่าตรวจพบการแพร่กระจายของ Emotet มากกว่า 1,267,000 รายทั่วโลกตั้งแต่ต้นปีซึ่งสอดคล้องกับการรุกรานยูเครนของรัสเซีย
การแพร่กระจายเพิ่มขึ้นเป็นครั้งที่สองระหว่างเดือนมิถุนายนถึงกรกฎาคม เนื่องจากมีการใช้งานโดยกลุ่มแรนซัมแวร์ Quantum และ BlackCat รายงานโดยบริษัทรักษาความปลอดภัยในโลกไซเบอร์แสดงให้เห็นว่าประเทศที่เป็นเป้าหมายของ Emotet มากที่สุดคือสหรัฐอเมริกา, รองลงมาคือฟินแลนด์, บราซิล, เนเธอร์แลนด์ และฝรั่งเศส
ก่อนหน้านี้ ESET รายงานการตรวจพบ Emotet เพิ่มขึ้น 100 เท่าในช่วงสี่เดือนแรกของปี 2565 เมื่อเทียบกับปีก่อน Check Point บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอลระบุว่า Emotet จัดอยู่ในลำดับที่ 5 ในรายการมัลแวร์ที่แพร่กระจายมากที่สุดในเดือนสิงหาคม 2565 โดยอันดับแรกจะเป็น FormBook, Agent Tesla, XMRig และ GuLoade ตามลำดับ
ที่มา: thehackernews.
You must be logged in to post a comment.