+11 голос |
Как и предсказывалось многими, ботнет Emotet, который когда-то считался «самым опасным вредоносным ПО в мире», вернулся всего через 10 месяцев после демонтажа его инфраструктуры в ходе скоординированной на международном уровне операции правоохранительных органов в январе 2021 года.
Одним из тех для кого возврат Emotet не оказался сюрпризом, был Стефано Де Блази (Stefano De Blasi), аналитик по киберугрозам компании-провайдера решений цифровой защиты от рисков, Digital Shadows.
«Деятельность этих вариантов вредоносного ПО часто приостанавливаются на время, но, как правило, операции по их искоренению не дают постоянного эффекта. Операторы бот-сетей проявляют большую гибкость и часто за непродолжительное время могут оправиться от этих атак», — отметил он.
На этот раз Emotet вернулся не сам, но в компании с ещё одним «зомби» — ботнетом TrickBot. Компания Microsoft объявила, что уничтожила TrickBot в октябре 2020 г., но уже в июле ботнет снова был замечен в Сети.
Термин Emotet используется для обозначения не только ботнета, но и собственно вредоносного ПО. Вот для установки последнего на целевые системы теперь и применяется TrickBot.
«На нескольких наших трекерах Trickbot мы наблюдали, что бот пытался загрузить в систему динамически подключаемые библиотеки (DLL), — пояснил Эбах (Luca Ebach) из немецкой фирмы кибербезопасности G Data. — Эти DLL были идентифицированы как Emotet. Однако, поскольку этот ботнет был выведен из строя в начале года, мы с сомнением отнеслись к результатам и провели первоначальную проверку вручную. В настоящее время мы убеждены, что данные образцы действительно представляют собой реинкарнацию печально известного Emotet».
Дополнительные подробности об Emotet сообщает Internet Storm Center (ISC). В частности, интересно, что для распространения Emotet использует вредоносные вложения, включая Excel, Word и ZIP.
По словам Стивена Банда (Stephen Banda) из фирмы Lookout, специализирующейся на облачной безопасности, с Emotet мы в очередной раз становимся свидетелями того, как обезвреженное вредоносное ПО возрождается более опасным и более неуловимым, чем было прежде.
«В случае Emotet разработчики вредоносного ПО расширили его возможности... используя исходный код в качестве трамплина для улучшений», — заявил Банда, подчеркнув, что реинкарнация Emotet может обострить до предела и без того напряжённую обстановку с угрозами ransomware. «С ПО Trickbot Emotet приобретает большой потенциал для быстрого масштабного распространения, а также широкий спектр возможностей Trickbot, такие как подключаемые модули, криптомайнинг и функции, затрудняющие его удаление», — говорит он.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |