Af Eskil Sørensen, 17/11/21
Emotet botnettet er igen oppe at køre næsten ti måneder efter, at en lang række aktører med bl.a. Microsoft i spidsen satte sig for at udskadeliggøre Emotets command-and-controlservere.
Det skriver The Record.
Indsatsen medførte i sin tid, at Emotet mistede adgangen til de servere, der ellers kontrollerede netværket af inficerede enheder. Operationen ansås i sin tid for at være en succes, eftersom den også indbefattede afmontering af malwaren fra alle inficerede computere, hvilket effektivt udslettede hele botnettet på tværs af internettet. Dermed var Emotets evne til at sende e-mail-spam til brugere over hele verden lukket og dermed også Malware-as-a-Service-infrastrukturen, hvilket har været anvendt af forskellige cyberkriminalitetsgrupper.
Men her i weekenden blev det så opdaget, at TrickBot-botnettet øjensynligt har hjulpet Emotet med at komme på fode igen ved at installere Emotet-malwaren på systemer, der tidligere var blevet inficeret med TrickBot. Netop denne udvikling har været forudset, da det har være observeret i tidligere forsøg på at nedtage Emotet.
Cryptolaemus, som er gruppen bag fundet af Emotets genkomst, oplyser til The record, at Emotet-banden pt. ikke sender ny e-mail-spam ud, men tilsyneladende satser på, at TrickBot kan hjælpe til. Det er endnu uvist om comeback’et bliver en succes, men vurderingen er, at det ville være meget svært for Emotet at nå sin tidligere størrelse i de kommende måneder.
Opfordringen lyder at man kan hjælpe til med at begrænse Emotets spredning ved at blokere en række command-and-control-serverne, ligesom man bør opdarere blokeringslisten regelmæssigt for at undgå at ens eget system uforvarende bliver kontaktet af serverne.
Links:
https://therecord.media/emotet-botnet-returns-after-law-enforcement-mass-uninstall-operation/