Emotet er navnet på det mange eksperter anser som et av de mest destruktive skadevare-programmene i nyere tid. En storaksjon mot Emotet-nettet i fjor reduserte trusselen kraftig, i alle fall en stund, men nå ser det ut til at den er tilbake på radaren for alvor.
Sikkerhetsavdelingen til det amerikanske teleselskapet Lumen, Black Lotus Labs, rapporterer at de har registrert en kraftig økning i antallet systemer som er infisert med Emotet-programvaren. Blant andre Hacker News skrev om saken.
130.000 nye boter
– Vi har fastslått at selv om Emotet ikke ennå har oppnådd samme skala som den en gang hadde, viser botnettet en sterk gjenoppblomstring med rundt 130.000 unike, nye boter fordelt på 179 land siden november 2021, skriver sikkerhetsselskapet.
Antallet C2-servere (command and control), som brukes til å kontrollere botnettet, har i gjennomsnitt økt med 77 unike servere hver dag fra februar til begynnelsen av mars, skriver selskapet.
Ifølge Black Lotus Labs representerer gjenoppstandelsen en stor og økende trussel for organisasjoner i hele verden.
– Emotet er vidt betraktet som en av verdens farligste, globale skadevarefamilier på grunn av dens rolle i å skaffe tilgang til infiserte maskiner og så selge denne tilgangen til andre cyberkriminelle, slik som operatører av utpressingsvirus, heter det selskapets rapport.
Blak Lotus Labs begynte å holde et nært øye med Emotet-nettet som følge av rapportene om at nettverket var i ferd med å bli gjenopprettet igjen i november i fjor. Dette var etter at det hadde ligget skadeskutt en stund som resultat av den omfattende politiaksjonen mot Emotet som fant sted i januar 2021.
Spres via e-post
Gjenoppbyggingen ble i stor grad muliggjort ved å benytte den eksisterende infrastrukturen til et annet botnett, nemlig Trickbot, som har mange av de samme egenskapene som Emotet og som også karakteriseres som en av største cybertruslene.
Den nye versjonen av Emotet har mer avanserte egenskaper enn den forrige utgaven. Den såkalte kommandobufferen skal være utvidet til å inneholde syv kommandoer, der den tidligere versjonen av programvaren kun benyttet tre eller fire.
I en pressemelding som Europol publiserte i fjor i forbindelse med aksjonen mot nettverket heter det at Emotet-infrastrukturen essensielt sett fungerte som en «døråpner» for datasystemer på global skala.
Skadevaren sprer seg primært via e-post, hovedsakelig Word-filer som enten legges inn som vedlegg eller som lastes ned via lenker i e-postene.
Emotet er også i stand til å spionere seg til tilgangsdataene for e-postkontoer konfigurert på systemene, og innholdet i postkassene. Tilgangsdataene blir deretter misbrukt for å sende spam-post via kompromitterte kontoer for videre distribusjon.
To av verdens farligste skadevareprogrammer har «slått seg sammen»
