与阿诺德施瓦辛格的终结者一样,Emotet再度归来,对全球的计算机构成威胁。
今年1月,执法部门联合多个国家和地区,端掉了Emotet的相关基础设施,但根据Check Point 研究人员在上周发布的报告,新的Emotet恶意软件在隐匿10个月后,于11月15日开始再度出现。
Check Point发现,如今Emotet的数量每天都在增加,已经达到今年1月Emotet下线时的50%,该恶意软件通过Trickbot和恶意垃圾邮件进行传播,这些垃圾邮件试图让用户下载一个包含恶意文件的有密码保护的压缩文件,一旦打开,就会导致计算机感染Emotet。
该恶意软件重出江湖,对企业而言甚是头痛,因为它攻击的关联范围甚广,包括收集电子邮件地址、窃取凭证、分发垃圾邮件、启用横向移动、下载其他恶意软件(包括 Trickbot)等。
在Emotet销声匿迹的这段时间里,其开发人员更迭出了更加强大的版本。Check Point的报告表示,新出现的Emotet使用椭圆加密算法(ECC)加密通信,而不是之前较弱的RSA 加密算法。此外,新的Emotet还可以伪装成正常的window应用程序安装包进行传播。
至于新版Emotet背后是否由新的恶意软件开发人员开发,Check Point 威胁情报主管芬克尔斯坦认为,新老版本可能是同一群人所为,因为新版本的开发人员对旧版中的缺陷了如指掌,并进行了有针对性的改进,或者至少,旧版本的开发人员也重度参与了新版本的开发。
Emotet的重新出现说明了其所具有的全球化性质,美国当局估计已为此造成了数亿美元的损失。芬克尔斯坦认为,因为这是一个分散式的全球组织,只有逮捕幕后主要的策划人员才能从根本上遏制它的恶意行径。
参考来源:https://www.darkreading.com/threat-intelligence/emotet-is-back-and-it-s-more-dangerous-than-before