La insidiosa botnet Emotet, que regresó en noviembre de 2021 después de una pausa de 10 meses, muestra una vez más signos de crecimiento constante, acumulando un enjambre de más de 100,000 hosts infectados por perpetrar sus actividades maliciosas.
«Si bien Emotet aún no ha alcanzado la misma escala que alguna vez tuvo, la red de bots está mostrando un fuerte resurgimiento con un total de aproximadamente 130 000 bots únicos repartidos en 179 países desde noviembre de 2021», investigadores de Black Lotus Labs de Lumen. dijo en un informe
Emotet, antes de su desmantelamiento a fines de enero de 2021 como parte de una operación policial coordinada denominada «Ladybird», había infectado no menos de 1,6 millones de dispositivos en todo el mundo, actuando como conducto para que los ciberdelincuentes instalaran otros tipos de malware, como troyanos bancarios. o ransomware, en sistemas comprometidos.
El malware resurgió oficialmente en noviembre de 2021 utilizando TrickBot como vehículo de entrega, y el primero cerró su infraestructura de ataque a fines del mes pasado después de que varios miembros clave del grupo fueran absorbidos por el cartel de ransomware Conti.
Se dice que la resurrección de Emotet fue orquestado por la pandilla Conti en un intento de cambiar de táctica en respuesta al mayor escrutinio de las fuerzas del orden sobre las actividades de distribución de malware de TrickBot.
Black Lotus Labs señaló que «la agregación de bots realmente no comenzó en serio hasta enero [2022]y agregó que las nuevas variantes de Emotet han cambiado el esquema de encriptación RSA a favor de la criptografía de curva elíptica (ECC) para encriptar el tráfico de red.
Otra nueva incorporación a sus capacidades es su capacidad para recopilar información adicional del sistema más allá de una lista de procesos en ejecución de las máquinas comprometidas.
Además, se dice que la infraestructura de botnet de Emotet abarca casi 200 servidores de comando y control (C2), con la mayoría de los dominios ubicados en los EE. UU., Alemania, Francia, Brasil, Tailandia, Singapur, Indonesia, Canadá, el Reino Unido y India.
Los bots infectados, por otro lado, se concentran en gran medida en Asia, principalmente en Japón, India, Indonesia y Tailandia, seguidos de Sudáfrica, México, EE. UU., China, Brasil e Italia. «Esto no es sorprendente dada la preponderancia de hosts de Windows vulnerables u obsoletos en la región», dijeron los investigadores.
«El crecimiento y la distribución de bots es un indicador importante del progreso de Emotet en la restauración de su infraestructura que alguna vez fue en expansión», señaló Black Lotus Labs. «Cada bot es un punto de apoyo potencial para una red codiciada y presenta una oportunidad para implementar Cobalt Strike o eventualmente ser promovido a un Bot C2».
