Het verraderlijke Emotet-botnet, dat in november 2021 terugkeerde na een onderbreking van 10 maanden, vertoont opnieuw tekenen van gestage groei en verzamelt een zwerm van meer dan 100.000 geïnfecteerde hosts voor het plegen van zijn kwaadaardige activiteiten.
“Hoewel Emotet nog niet dezelfde schaal heeft bereikt die het ooit had, vertoont het botnet een sterke heropleving met in totaal ongeveer 130.000 unieke bots verspreid over 179 landen sinds november 2021”, onderzoekers van Lumen’s Black Lotus Labs zei in een rapport.
Emotet had, voorafgaand aan de verwijdering eind januari 2021 als onderdeel van een gecoördineerde wetshandhavingsoperatie genaamd “Ladybird”, niet minder dan 1,6 miljoen apparaten wereldwijd geïnfecteerd en fungeerde als een kanaal voor cybercriminelen om andere soorten malware te installeren, zoals banking trojans of ransomware, op gecompromitteerde systemen.
De malware dook officieel weer op in november 2021 met behulp van TrickBot als een leveringsvoertuig, waarbij de eerste eind vorige maand zijn aanvalsinfrastructuur sloot nadat verschillende belangrijke leden van de groep waren opgenomen in het Conti ransomware-kartel.
Emotet’s opstanding zou zijn geweest georkestreerd door de Conti-bende zelf in een poging om tactieken te veranderen als reactie op het toegenomen toezicht van de wetshandhavers in de malware-distributie-activiteiten van de TrickBot.
Black Lotus Labs merkte op dat de “aggregatie van bots pas in januari echt begon” [2022],” door de nieuwe varianten van Emotet toe te voegen, is het RSA-coderingsschema verwisseld voor elliptische curve-cryptografie (ECC) om netwerkverkeer te coderen.
Een andere nieuwe toevoeging aan de mogelijkheden is de mogelijkheid om aanvullende systeeminformatie te verzamelen naast een lijst met lopende processen van de gecompromitteerde machines.
Bovendien zou de botnetinfrastructuur van Emotet bijna 200 command-and-control (C2) -servers omvatten, met de meeste domeinen in de VS, Duitsland, Frankrijk, Brazilië, Thailand, Singapore, Indonesië, Canada, het VK en Indië.
Aan de andere kant zijn geïnfecteerde bots sterk geconcentreerd in Azië, voornamelijk Japan, India, Indonesië en Thailand, gevolgd door Zuid-Afrika, Mexico, de VS, China, Brazilië en Italië. “Dit is niet verwonderlijk gezien het overwicht van kwetsbare of verouderde Windows-hosts in de regio”, aldus de onderzoekers.
“De groei en distributie van bots is een belangrijke indicator van de vooruitgang van Emotet bij het herstellen van zijn eens zo uitgestrekte infrastructuur”, merkte Black Lotus Labs op. “Elke bot is een potentiële steunpilaar voor een begeerd netwerk en biedt de mogelijkheid om Cobalt Strike in te zetten of uiteindelijk te worden gepromoveerd tot een Bot C2.”
