Emotet, король в мире ботнетов, считавшийся обезвреженным в результате специальной операции, проведенной в январе 2021 года США, странами Европейского Союза и Украины, с ноября 2021 года стремительно восстанавливает былое величие в киберпространстве и наращивает войско из зараженных компьютеров пользователей по всему миру.

Специалистами компании Check Point ботнет Emotet признан самой активной киберугрозой февраля 2022 года, потеснившей на пьедестале ботнетов  не менее опасных претендентов на трон - TrickBot и QakBot.

Более того, авторитетные компании в области кибербеза утверждают, что именно операторы TrickBot и QakBot оказали непосредственную помощь в реинкарнации ботнета, оказав услуги классических дропперов и послужив вектором проникновения новых образцов Emotet в уже скомпрометированное компьютерное оборудование по всему миру.

Действительно, по данным наших радаров, последние активные усилия Emotet по наращиванию инфраструктуры датируются 26 января 2021 года, что коррелирует с официальным отчетом Европола о проведении спецоперации, опубликованным на следующие сутки. Видимо, в тот день раннее утро некоторых операторов ботнета действительно началось не с кофе.

Небольшая активность Emotet, еще наблюдавшаяся в начале февраля, скорее всего, объясняется продолжавшейся по инерции спам-рассылкой вредоносных модулей.

Однако 15 ноября 2021 года у Emotet, впавшего в кому более чем на полгода, внезапно вновь начинает прослеживаться пульс. За 4 месяца операторам ботнета, по каким-то причинам избежавшим карающей руки правосудия, удается обновить 70% ранее используемой инфраструктуры и 37% арсенала используемых вредоносных модулей.

География вредоносной инфраструктуры восставшего из киберпепла Emotet претерпела несущественные изменения. Безусловное лидерство по количеству серверов в составе ботнета по-прежнему сохраняют США. Однако наблюдается резкое снижение масштабов инфраструктуры ботнета на территории Китая и Бразилии, а в список привлекательных стран, помимо Германии, попадают Франция и Россия.

При этом география инфраструктуры Emotet во время наблюдающейся в настоящее время второй волны во многом совпадает с географией серверов в составе TrickBot и QakBot. Совпадение?

Очевидным партнерством с другими киберкриминальными группами объясняются и существенные изменения в способах доставки модулей Emotet, характерные для второй волны заражений. Операторы ботсети отдают предпочтение использованию DLL-библиотек и битых PNG-изображений вместо ранее активно использовавшихся документов Microsoft Word с вредоносными макросами. По всей видимости, сейчас Emotet не нуждается в собственных дропперах, использовании сложной социалки либо BEC-атак, утоляя свой аппетит за счет более окрепших партнеров.

Но для хранения вредоносных модулей и уменьшения вероятности обнаружения Emotet, как и прежде, активно использует файловые системы скомпрометированных серверов с легитимными веб-сайтами на Wordpress, что указывает на наличие у операторов ботнета эксплойта к популярному движку. Примечательно, что случаи заражения ресурсов в российских TLD-зонах единичны и, скорее, носят случайный характер. Операторы Emotet явно избегают использования российских Интернет-площадок для хранения сэмплов.

В момент написания отчета уникальные сэмплы Emotet продолжали попадать в поле зрения наших радаров и нещадно пожирать байты хранилищ, отведенных под отлов киберугроз. В ближайшее время не стоит ожидать снижения активности ботнета, операторы которого явно вышли из тени не просто для очередной порции внимания комьюнити.