曾经臭名昭著的僵尸网络Emotet在2021年初被全球执法部门重拳出击后,消失了一段时间,如今已卷土重来,势头猛烈。Securityaffairs等待网站消息,Emotet自去年11月复出以来,发展迅速,在179个国家感染了约13万台主机。
Emotet 于 2014年首次被发现,最初作为银行木马病毒传播,但随着越来越多的恶意程序的发展,如Trickbot 和 QBot,以及勒索软件Conti、ProLock、Ryuk和 Egregor等等,构建了一个庞大的僵尸网络。2021年 11 月,来自多家网络安全公司(Cryptolaemus、GData和 Advanced Intel)研究人员报告说,攻击者正在使用它TrickBot 恶意软件在受感染设备上投放 Emote 专家跟踪加载程序的目的TrickBot重建基础设施Emotet僵尸网络活动。
研究人员指出,新的 Emotet有一些新功能:
- 除了避免检测和分析外,还可以加密网络流量,并将过程列表分离到自己的模块中;
- 椭圆曲线加密 (ECC) 方案用于网络流量的保护和验证RSA加密;
- 只有新版本在和C2在构建连接后,将部署进程列表模块;
- 以前,为了更好地进行系统分析,增加了更多的信息收集功能,Emotet 只会发回正在运行的进程列表。
但与之前的版本相似,Emotet 的大部分C2基础设施位于美国和德国,其次是法国、巴西、泰国、新加坡、印尼、加拿大、英国和印度;机器人(Bot)在日本、印度、印度尼西亚、泰国、南非、墨西哥、美国、中国、巴西和意大利。分析人士认为,排名靠前的国家是因为这些地区过时且易受攻击Windows设备。
去年年初,由荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰组成的执法部门采取行动破坏了它Emotet相关基础设施。从这个角度来看,行动并不彻底,导致了Emotet沉默半年后死灰复燃。