Les professionnels de la cybersécurité ont de nouveau commencé à voir des acteurs de la menace se débarrasser des logiciels malveillants dans le but de relancer le tristement célèbre botnet Emotet.
En janvier de cette année, les forces de l'ordre en Europe et en Amérique du Nord ont uni leurs forces dans un effort coordonné pour perturber et supprimer le botnet Emotet.
Cependant, plusieurs fournisseurs et experts en sécurité, dont Cryptolaemus, GData et Advanced Intel, ont détecté une activité qui indique le retour imminent d'Emotet.
« Le dimanche 14 novembre vers 9h26 UTC, nous avons observé dans plusieurs de nos robots Trickbot que le robot tentait de télécharger une DLL sur le système. Sur la base d'un traitement interne, ces DLL ont été identifiées comme étant Emotet… Nous sommes actuellement convaincus que les échantillons semblent être une réincarnation du tristement célèbre Emotet », déclare GData.
D'entre les morts ?
Le malware Emotet était devenu la solution incontournable pour les cybercriminels utilisant son infrastructure pour accéder à des systèmes ciblés dans le monde entier. Ses opérateurs ont ensuite vendu cet accès à d'autres groupes de cybercriminels pour le déploiement de ransomwares, notamment Ryuk, Conti, ProLock, Egregor et plusieurs autres.
Faisant rapport sur le développement, BleepingComputer note que dans un changement apparent de tactique, les acteurs de la menace à l'origine de la renaissance d'Emotet utilisent désormais une méthode baptisée « Operation Scope » pour reconstruire le botnet Emotet en utilisant l'infrastructure existante d'Emotet. TrickBot.
Le groupe de recherche Emotet Cryptolaemus a commencé à analyser le nouveau chargeur Emotet et a détecté des changements par rapport au passé.
"Jusqu'à présent, nous pouvons certainement confirmer que le tampon de commandes a changé. Il y a maintenant 7 commandes au lieu de 3-4. Il semble y avoir plusieurs options d'exécution pour les binaires téléchargés (puisqu'il ne s'agit pas que de DLL)", ont déclaré les chercheurs de Cryptolème. .
Les chercheurs ont également ajouté que même s'ils n'ont vu aucun signe d'activité de spam par le botnet Emotet ou trouvé de documents malveillants qui suppriment le logiciel malveillant, ce n'est qu'une question de temps.
"Il s'agit d'un signe avant-coureur d'une possible activité imminente de logiciels malveillants Emotet alimentant d'importantes opérations de ransomware dans le monde, compte tenu de la rareté de l'écosystème Product Loader", a déclaré Vitali Kremez d'Intel à BleepingComputer.
Il est temps de fermer les trappes à l'aide de ces meilleures applications et services de pare-feu et de vous assurer que vos ordinateurs sont protégés avec ces meilleurs outils de protection des terminaux.