Emotet er navnet på et av de farligste skadevareprogrammene i nyere tid, men tidligere i år ble Emotet-nettet mer eller mindre slått ut av en massiv politiaksjon. Nå meldes det at skadevaren er tilbake – og det ved hjelp av en annen svært destruktiv programvare.
Sikkerhetsforskere har oppdaget at Emotet nemlig er i ferd med å bygge opp botnettet sitt igjen ved å benytte den eksisterende infrastrukturen til et annet botnett – nemlig Trickbot. Blant andre Bleeping Computer meldte om saken.
Operation Reacharound
De tre sikkerhetsselskapene Cryptolaemus, GData og Advanced Intel opplyser at Trickbot-botnettet har begynt å installere såkalte «loadere», eller lastere på norsk, for Emotet på infiserte systemer.
Gjenoppbyggingen av Emotet er blitt døpt Operation Reacharound og skal skje i et forrykende tempo. Hittil er rundt 250 infiserte enheter blitt identifisert som C&C-servere (command and control), men antallet vokser raskt.
Den nye versjonen av Emotet har mer avanserte egenskaper enn den forrige utgaven. Den såkalte kommandobufferen skal være utvidet til å inneholde syv kommandoer, der den tidligere versjonen av programvaren kun benyttet tre eller fire, opplyste en av forskerne overfor Bleeping Computer.
Europol, en av aktørene som stod bak storaksjonen mot Emotet i januar i år, beskrev programvaren som en av de største truslene på nettet de siste årene.
Global døråpner
– Emotet har vært en av de mest profesjonelle og levedyktige cyberkriminalitetstjenestene der ute. Etter å ha blitt oppdaget som en banktrojaner i 2014 utviklet skadevaren seg til å bli den foretrukne løsningen for cyberkriminelle med årene. Emotet-infrastrukturen fungerte essensielt sett som en døråpner for datasystemer på global skala, het det i Europols pressemelding.
Ifølge Europol er en av de farligste egenskapene ved Emotet at den ble brukt til å «leie» ut tilgang til infiserte systemer til andre skadevare-aktører, og på den måten la til rette for effektiv spredning av øvrig, farlig skadevare – deriblant de fryktede løsepengevirusene.
En av sikkerhetsforskerne som oppdaget den nye versjonen av Emotet uttalte at gjenoppbyggingen av nettverket trolig vil føre til en merkbar økning i angrep med løsepengevirus – som allerede i dag forårsaker massiv skade.
Mange fellestrekk
Trickbot på sin side har mange likhetstrekk med Emotet, først og fremst ved at den danner et botnett bestående av nettverk av infiserte maskiner som brukes til å utføre angrep i stor skala. I likhet med Emotet brukes skadevaren til å «leie» ut infiserte systemer til ondsinnede aktører for å sette dem til å utføre egne angrep.
Den er også fleksibel, konfigurerbar og stadig i endring, noe som gjør den velegnet til bruk i mange ulike typer angrep og vrien å stoppe.
I mars i år rapporterte sikkerhetsselskapet Check Point at Trickbot var den mest utbredte skadevaren og rammet 3 prosent av globale organisasjoner, som digi.no meldte. Microsoft gikk til aksjon mot Trickbot i fjor, men tilsynelatende uten noe særlig stor effekt.
