После долгого отсутствия ботнет Emotet снова начал проявлять признаки жизни

Исследователи в области кибербезопасности из Cryptolaemus , GData и Advanced Intel выявили случаи, когда вредоносная программа TrickBot устанавливает на зараженные устройства загрузчик для Emotet. Если раньше Emotet устанавливал TrickBot, то теперь злоумышленники используют метод, получивший название Operation Reacharound, для восстановления ботнета Emotet с использованием существующей инфраструктуры TrickBot.

Напомним, в начале нынешнего года инфраструктура опасного ботнета Emotet была отключена в рамках координированной операции Европола и Евроюста. Благодаря совместным усилиям правоохранительных органов Нидерландов, Германии, США, Великобритании, Франции, Литвы, Канады и Украины специалистам удалось захватить контроль над серверами ботнета, отключить всю его инфраструктуру и прекратить вредоносную активность.

Эксперты не зафиксировали никаких признаков того, что ботнет Emotet рассылает спам, и не обнаружили каких-либо вредоносных документов, загружающих вредоносное ПО. Отсутствие спам-рассылки, вероятно, связано с перестройкой инфраструктуры Emotet с нуля.

Как сообщили эксперты после анализа нового загрузчика Emotet, программа содержит изменения по сравнению с предыдущими вариантами.

«Пока что мы можем точно подтвердить, что буфер команд изменился. Теперь есть 7 команд вместо 3-4. Похоже, это различные варианты выполнения для загруженных двоичных файлов (поскольку это не только dll)», — сообщили специалисты.

В апреле нынешнего года Emotet был удален с зараженных компьютеров в результате операции сотрудников европейских правоохранительных органов. Специалисты голландской полиции, захватившие контроль над двумя центральными серверами вредоноса в стране, развернули обновление программного обеспечения для устранения киберугрозы Emotet. По словам экспертов, это не помешало злоумышленникам начать восстановление инфраструктуры.

Некоммерческая организация по отслеживанию вредоносных программ Abuse.ch опубликовала список C&C-серверов (246 устройств), используемых новым ботнетом Emotet, и настоятельно рекомендует администраторам сетей заблокировать соответствующие IP-адреса.