Emotet stał się ponownie najpowszechniejszym malwarem atakującym polskie przedsiębiorstwa – alarmują analitycy zagrożeń sieciowych z Check Point Research. W grudniu zeszłego roku botnet wykryty został w niemal co dziesiątej polskiej organizacji, a na całym świecie wpłynął na ponad 3,1 proc. sieci firmowych. Emotet tym samym powrócił do ścisłej czołówki najpopularniejszych szkodliwych programów.
Zlikwidowany na początku 2021 roku przez Interpol botnet Emotet, określany jako „najniebezpieczniejsze złośliwe oprogramowanie na świecie”, odradzał się w już kwietniu zeszłego roku dzięki aktywności malware’u Trickbot. Zdaniem specjalistów, już w połowie listopada maszyny zainfekowane Trickbotem zaczęły „zrzucać” próbki Emoteta, zachęcając użytkowników do pobrania chronionych hasłem plików zip, zawierających złośliwe dokumenty, które odbudowują sieć botnetu Emoteta. Ten w międzyczasie unowocześnił swoje możliwości, dodając kilka nowych sztuczek do swojego zestawu narzędzi.
Emotet, który niegdyś funkcjonował jako trojan bankowy, stał się w pełni rozwiniętym botnetem, będąc najbardziej udanym i rozpowszechnionym złośliwym oprogramowaniem roku 2020. Dane z ThreatCloud firmy Check Point Research wskazywały, że w 2020 roku Emotet zaraził aż 19% firm na całym świecie. Botnet zyskał swoją reputację dzięki wysoce zorganizowanemu przestępczemu modelowi biznesowemu – zamiast działać w pojedynkę, hakerzy stojący za Emotetem zdecydowali się współpracować z innymi grupami cyberprzestępczymi, twórcami Trickbota i Ryuk ransomware.
Jak wynika z danych Check Pointa, w ostatnim miesiącu 2021 roku Emotet wykryty został w przeszło 3 proc. firm na całym świecie, stając się numerem trzy pod względem infekcji, zaraz po Trickbocie (4,3 proc.) oraz Formbooku (3,2 proc). W naszym kraju botnet powrócił na pozycję bezwzględnego lidera infekcji. Wpływając niemal na 9,3 proc. polskich firm, Emotet – po przeszło roku – ponownie stał się programem najczęściej atakującym polskie organizacje i internautów.
Top 5 malware’u w Polsce dane za grudzień 2021
1.Emotet – 9,25% zaawansowany, modułowy trojan, który kiedyś był używany jako trojan bankowy, a obecnie rozpowszechnia inne złośliwe oprogramowanie lub złośliwe kampanie. Emotet wykorzystuje wiele metod i technik unikania, aby zapobiec wykryciu. Może być rozprzestrzeniany za pośrednictwem wiadomości e-mail typu phishing zawierających złośliwe załączniki lub łącza.
2.Trickbot – 4,88% modułowy trojan botnetowy i bankowy, dostarczany głównie za pośrednictwem kampanii spamowych lub innych rodzin złośliwego oprogramowania. Trickbot wysyła informacje o zainfekowanym systemie, a także może pobierać i uruchamiać dowolne moduły z szerokiej gamy dostępnych modułów: od modułu VNC do zdalnego sterowania po moduł SMB do rozprzestrzeniania się w zaatakowanej sieci. Hakerzy wykorzystują tę szeroką gamę modułów nie tylko do kradzieży danych uwierzytelniających bankowe z docelowego komputera, ale także do ruchu bocznego i rekonesansu w samej zaatakowanej organizacji przed dostarczeniem ukierunkowanego ataku ransomware
3.Formbook – 3,6% infoStealer, którego celem jest system operacyjny Windows. Jest sprzedawany jako MaaS na podziemnych forach hakerskich ze względu na silne techniki uników i stosunkowo niską cenę. FormBook zbiera dane uwierzytelniające z różnych przeglądarek internetowych, zbiera zrzuty ekranu, monitoruje i rejestruje naciśnięcia klawiszy, a także może pobierać i uruchamiać pliki zgodnie z poleceniami ze swojego centrum kontroli.
4.Dridex – 1,8% trojan bankowy atakujący platformę Windows, dostarczany przez kampanie spamowe i zestawy exploitów, który wykorzystuje WebInjects do przechwytywania i przekierowywania danych uwierzytelniających bankowych na serwer kontrolowany przez atakującego. Dridex kontaktuje się ze zdalnym serwerem, wysyła informacje o zainfekowanym systemie, a także może pobierać i uruchamiać dodatkowe moduły do zdalnego sterowania.
5.Agent Tesla – 1,8% zaawansowany trojan zdalnego dostępu, aktywny od 2014 roku jako keyloggery i złodziej haseł. AgentTesla może monitorować i gromadzić dane wejściowe z klawiatury ofiary i schowka systemowego, a także nagrywać zrzuty ekranu i eksfiltrować dane uwierzytelniające wprowadzone do różnych programów zainstalowanych na komputerze ofiary
