Дослідники безпеки з SophosLabs досліджували поточну діяльність відновленого ботнету Emotet. Вони описують, як Emotet зараз використовує CFF, техніку кодування, яка використовується шкідливим програмним забезпеченням ботнету для маскування та приховування від заходів безпеки.
Emotet є однією з найпрофесійніших і довготривалих служб боротьби з кіберзлочинністю та зараженням шкідливим програмним забезпеченням у середовищі загроз. Ботнет став сумно відомим незабаром після свого дебюту в 2014 році та був зупинений у січні 2021 року багатонаціональною операцією правоохоронних органів, яка призупинила його діяльність майже на рік. Нарешті, у листопаді 2021 року ботнет знову з’явився на поверхні та знову з’явився на радарі Sophos.
Емотет: знову на радарі
«Після майже річної перерви в правоохоронних органах сумнозвісний ботнет Emotet знову починає розвиватися, про що свідчать пісочниці та системи моніторингу SophosLabs», — сказав Андреас Клопш, дослідник безпеки SophosLabs.
«Гістограма вище показує появу Emotet, виявлений у системах пісочниці Sophos у першому кварталі 2022 року. Як видно з діаграми, ми отримуємо кілька повідомлень Emotet щодня; ми припускаємо, що регулярні великі сплески є великомасштабними кампаніями. Emotet в основному розповсюджується через спам електронною поштою, і більша кількість шкідливих електронних листів, природно, призводить до більшої кількості повідомлень у пісочниці.
Крім того, дослідницька група помітила, що Emotet часто використовує CFF як прискорювач для уповільнення захисту; техніка, яка використовується з 2020 року.
Обфускація як тактика
«CFF — добре відома техніка обфускації, яка використовується для приховування намірів зловмисного програмного забезпечення, що ускладнює розуміння захисниками та захист від атак. Процес видалення цієї техніки обфускації називається «розведенням». Нашій дослідницькій групі в SophosLabs вдалося виявити більшість обфускаційних функцій і зламати кілька додаткових рівнів обфускації. Це дозволяє нам глибше заглибитися у внутрішню роботу Emotet. Це дозволяє компаніям краще виявляти та швидше реагувати на атаки Emotet», — каже Андреас Клопш.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.