Detectar a Atividade do Emotet: Malware Infame Ressurge para Alvejar Sistemas no Mundo Todo
Índice:
O notório Emotet está de volta, ressurgindo seu Epoch 5 após todos os servidores de comando e controle (C&C) da botnet terem sido interrompidos em uma operação conjunta de cumprimento da lei internacional, chamada Operação Ladybird, no início de 2021. De acordo com os pesquisadores, era apenas uma questão de tempo para a infraestrutura de C&C do Emotet se restabelecer e iniciar novamente uma campanha de ataque cibernético em grande escala. E, embora os mantenedores do malware permaneçam desconhecidos, esta campanha coincide suspeitosamente com a invasão russa na Ucrânia.
Na SOC Prime, continuamos a renovar nosso conteúdo de detecção para que você possa capturar a atividade mais recente do Emotet e semelhantes o mais cedo possível. Abaixo você encontrará as mais novas regras de detecção e análises detalhadas.
Detecção de Ataque Emotet
Para detectar o comportamento mais recente do Emotet, confira as regras feitas pelo nosso desenvolvedor do Threat Bounty Furkan Celik:
Emotet Detectado Novamente em Arquivos MS Office (Março) (via evento de registro)
Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio
FireEye, LogPoint, Graylog, Grep de Regex, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
As regras estão alinhadas com a versão mais recente do framework MITRE ATT&CK® v.10, abordando a tática de Evasão de Defesa com Modificar Registro (T1112) como técnica principal.
Detecção de Novos Comportamentos do Emotet (Março) (via criação de processo)
Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Grep de Regex, RSA NetWitness, Apache, Kafka ksqlDB, Securonix, AWS OpenSearch.
As regras estão alinhadas com a versão mais recente do framework MITRE ATT&CK® v.10, abordando a tática de Evasão de Defesa com Execução de Proxy de Binário Assinado (T1218) como técnica principal.
As organizações também devem estar cientes de que, uma vez que esta botnet entra na rede, ela pode baixar outros tipos de ataques de malware como o Emotet que poderiam provocar outras explorações de diferentes comportamentos. Por isso, é necessário verificar qualquer sinal de dano colateral como ransomware junto com a distribuição de bots do Emotet. Para encontrar todo o conteúdo que aborda o comportamento malicioso do Emotet, você pode verificar o conteúdo de detecção disponível na plataforma SOC Prime.
Os defensores cibernéticos são mais que bem-vindos para se juntar ao nosso programa Threat Bounty para aproveitar o poder da comunidade e ser recompensados pelo seu conteúdo de detecção de ameaças.
Ver Detecções Junte-se ao Threat Bounty
Processo de Infecção do Emotet
Para ilustrar a importância do renascimento do Emotet, a Proofpoint encontrou mais de 2,73 milhões de e-mails de phishing enviados pelo Emotet na primeira semana de março de 2022. Foi mais do que a quantidade dos mesmos e-mails durante todo o mês de fevereiro de 2022 (2,07 milhões). Anteriormente, em novembro de 2021, uma rede de 130.000 novos bots em 179 países foi detectada.
Novas evidências de atividade do Emotet mostram que os atacantes estão usando novos recursos para operar sem serem detectados e despercebidos pelos sistemas de segurança das suas vítimas. Para isso, os adversários criptografaram o tráfego de rede via criptografia de curva elíptica (ECC) e separaram a lista de processos em seu próprio módulo. Além disso, novas versões de malware tendem a coletar mais informações sobre os hosts infectados.
Os pesquisadores da Black Lotus Labs mencionam que a velocidade média do crescimento da nova campanha do Emotet é de cerca de 77 servidores C&C de Nível 1 únicos por dia, do final de fevereiro de 2022 até 4 de março de 2022, com a maioria das localizações de C2 do Emotet estando nos EUA e Alemanha. Enquanto isso, os bots infectados estão principalmente concentrados em regiões como Ásia, Índia, México, África do Sul, China, Brasil e Itália. Dada a quantidade de dispositivos Windows desatualizados, é compreensível por que essas regiões foram tão afetadas.
A botnet Emotet cresce a uma velocidade sem precedentes, já que eles são capazes de infectar milhões de máquinas de vítimas e transformá-las em bots maliciosos. Parar isso é possível ao se juntar à abordagem de defesa colaborativa. Junte-se à plataforma SOC Prime Detection as Code e ganhe acesso imediato ao conteúdo mais novo que ajudará você a detectar as ameaças cibernéticas mais recentes e furtivas. E se sentir que pode contribuir com conhecimento valioso, envie seu conteúdo de detecção para nosso programa de crowdfunding e receba recompensas recorrentes pelo seu conteúdo único.