Botnet Emotet yang berbahaya, yang muncul kembali pada November 2021 setelah jeda selama 10 bulan, sekali lagi menunjukkan tanda-tanda pertumbuhan yang stabil, mengumpulkan lebih dari 100.000 host yang terinfeksi karena melakukan aktivitas jahatnya.
"Meskipun Emotet belum mencapai skala yang sama seperti dulu, botnet menunjukkan kebangkitan yang kuat dengan total sekitar 130.000 bot unik yang tersebar di 179 negara sejak November 2021," kata peneliti dari Lumen's Black Lotus Labs dalam sebuah laporan.
Emotet, sebelum dihapus pada akhir Januari 2021 sebagai bagian dari operasi penegakan hukum terkoordinasi yang dijuluki "Ladybird," telah menginfeksi tidak kurang dari 1,6 juta perangkat secara global, bertindak sebagai saluran bagi penjahat dunia maya untuk menginstal jenis malware lain, seperti trojan perbankan atau ransomware, ke sistem yang disusupi.
Malware tersebut secara resmi muncul kembali pada November 2021 menggunakan TrickBot sebagai kendaraan pengiriman, dengan yang terakhir menutup infrastruktur serangannya akhir bulan lalu setelah beberapa anggota kunci kelompok tersebut diserap ke dalam kartel ransomware Conti.
Kebangkitan Emotet dikatakan telah diatur oleh geng Conti sendiri dalam upaya untuk mengubah taktik dalam menanggapi peningkatan pengawasan penegakan hukum ke dalam aktivitas distribusi malware TrickBot.
Black Lotus Labs mencatat bahwa "agregasi bot benar-benar tidak dimulai dengan sungguh-sungguh hingga Januari [2022]," menambahkan varian baru Emotet telah menukar skema enkripsi RSA dengan kriptografi kurva eliptik (ECC) untuk mengenkripsi lalu lintas jaringan.
Tambahan baru lainnya untuk kemampuannya adalah kemampuannya untuk mengumpulkan informasi sistem tambahan di luar daftar proses yang berjalan dari mesin yang disusupi.
Terlebih lagi, infrastruktur botnet Emotet dikatakan mencakup hampir 200 server command-and-control (C2), dengan sebagian besar domain berlokasi di AS, Jerman, Prancis, Brasil, Thailand, Singapura, Indonesia, Kanada, Inggris, dan India.
Bot yang terinfeksi, di sisi lain, sangat terkonsentrasi di Asia, terutama Jepang, India, Indonesia, dan Thailand, diikuti oleh Afrika Selatan, Meksiko, AS, Cina, Brasil, dan Italia. "Ini tidak mengejutkan mengingat dominannya host Windows yang rentan atau ketinggalan jaman di wilayah tersebut," kata para peneliti.
"Pertumbuhan dan distribusi bot merupakan indikator penting dari kemajuan Emotet dalam memulihkan infrastrukturnya yang dulu luas," kata Black Lotus Labs. "Setiap bot adalah pijakan potensial untuk jaringan yang didambakan dan menghadirkan peluang untuk menyebarkan Cobalt Strike atau akhirnya dipromosikan menjadi Bot C2."
source: thehackernews
Posting Komentar