Emotet encerra hiato com novas campanhas de spam

Os indivíduos por trás das ameaças que operam o malware Emotet acabaram com seu hiato de quase quatro meses ao lançar uma série de e-mails de spam maliciosos direcionados a usuários de língua alemã, italiana, polonesa e inglesa.

Essa onda de e-mails de spam relacionados ao Emotet e seus componentes maliciosos são proativamente bloqueados pelos recursos de detecção de machine learning da Trend Micro incorporados às soluções da empresa. Amostras de Emotet são detectadas como TrojanSpy.Win32.EMOTET.SMCRS. As detecções heurísticas e de sandbox através da solução Trend Micro™ Deep Discovery™ são HEUR_VBA.O2 e VAN_WORM.UMXX, respectivamente. A tecnologia de monitoramento de comportamento da Trend Micro bloqueia efetivamente scripts maliciosos do PowerShell incorporados às macros e impede a execução do Emotet.

Aqui está uma visão geral dessa ameaça e o que organizações e usuários podem fazer para se defenderem.

[Pesquisa Trend Micro: Prevalência de Emotet na região das Américas ]

Por qual motivo Emotet parou?

Não está bem claro o porquê de os operadores do Emotet encerrarem suas operações, embora as botnets que perdem a comunicação não sejam novidade. Por exemplo, sabe-se que os operadores de Dridex e Ramnit diminuem a atividade durante o período de férias, principalmente durante dezembro e janeiro. Outros grupos de hackers usam o hiato para atualizar suas infraestruturas, como seus servidores de comando e controle (C&C).

Os pesquisadores perceberam que os servidores de C&C do Emotet retomaram suas atividades no final do mês de agosto, mas eles não estavam enviando e-mails de spam na época. O pesquisador de segurança Raashid Bhat viu as infraestruturas do Emotet começarem a enviar e-mails de spam no dia 16 de setembro.

[Análise técnica: técnicas de evasão de Emotet]

Emotet é o mesmo que Trickbot?

Não, elas são ameaças diferentes. O Trickbot, no entanto, é conhecido por ser um dos muitos payloads do Emotet, para que suas campanhas possam se sobrepor. De fato, uma campanha de malware direcionada a empresas nos EUA e na Europa em abril passado usou uma combinação de Emotet, Trickbot e Ryuk para roubar credenciais e depois criptografar arquivos no sistema afetado.

Assim como o Trickbot, o Emotet começou como um trojan bancário antes de fazer a transição para um malware de trojan e botnet de download modular, pelo qual agora é conhecido.

[LEIA: Mecanismos de operação modulares e multicamadas de Emotet]

Como o Emotet pode entrar no sistema?

Os e-mails de spam contêm URLs maliciosos e são anexados aos documentos do Microsoft Word incorporados à macro que, quando ativados, invocam e iniciam um script do PowerShell que faz o download do malware Emotet de sites comprometidos. Esses sites, de acordo com a Malwarebytes, eram executados principalmente no sistema de gerenciamento de conteúdo do WordPress (CMS). Como alternativa, alguns documentos usam scripts de download para recuperar o malware Emotet.

[Resumo de segurança da Trend Micro no meio do ano: como as ameaças relacionadas a mensagens e spam estão diversificando]

O que acontece depois que o sistema for infectado pelo Emotet?

O Emotet rouba as senhas dos aplicativos instalados no sistema infectado e envia e-mails de spam para sua lista de contatos. Ele também se moverá lateralmente para infectar outros sistemas conectados à rede. É possível que o risco mais significativo seja a capacidade do Emotet – como um trojan de download – de executar outros payloads.

Os operadores do malware também são conhecidos por falsificar e sequestrar threads de e-mail existentes ou em andamento, incorporando URLs maliciosos ou anexos carregados de Emotet.

[Guia InfoSec: Atenuando ameaças de e-mail]

Quais outros riscos à segurança o Emotet representa?

O Emotet também adiciona o sistema infectado a uma botnet, incluindo outras máquinas afetadas por ataques que são usadas para distribuir mais e-mails de spam. Os operadores do Emotet também são conhecidos por vender sua botnet como um serviço e fazer parceria com outros cibercriminosos e agentes de ameaças, permitindo que o malware implante payloads de famílias de ransomware como Ryuk, Nozelesn e BitPaymer e ladrões de informações como Ursnif e Dridex, para citar alguns.

Em termos de impacto financeiro, a Agência de Segurança Cibernética e Infraestrutura (CISA) informou em 2018 que um incidente relacionado ao Emotet pode custar até US$ 1 milhão para remediar.

[Segurança para leigos: Ameaças Sem Arquivo Que Abusam Do Powershell]

O que as organizações e os usuários podem fazer para se defenderem do Emotet?

Seguem algumas das práticas recomendadas que empresas e usuários podem adotar para se proteger contra o Emotet e outras ameaças que podem vir com ele:

  • Mantenha seus sistemas e patches atualizados (ou use virtual patching). O Emotet é um malware modular de download capaz de fornecer outros tipos de ameaças que podem explorar vulnerabilidades. A atualização e aplicação de patches no sistema, rede e software de servidor podem remover essas vulnerabilidades.
  • Proteja o gateway de e-mail. O principal vetor de ataque do Emotet é o e-mail de spam, que depende da engenharia social para ter sucesso. Praticar a higiene da segurança cibernética – tanto no local de trabalho quanto em casa – como identificar sinais de alerta nos e-mails de phishing, ajuda tanto quanto a implantação de soluções de segurança.
  • Aplique o princípio do menor privilégio. O Emotet abusa de ferramentas legítimas, como o PowerShell, como parte de sua cadeia de ataques. Desabilitar, restringir ou garantir seu uso pode impedir significativamente a ameaça de abusar deles.

Monitore proativamente as infraestruturas online da organização. Para as organizações, uma abordagem em várias camadas pode ajudar a se defender do Emotet. Os firewalls e os sistemas de detecção e prevenção de intrusões ajudam a detectar e bloquear atividades suspeitas de tráfego ou rede maliciosa. O controle de aplicativos e o monitoramento de comportamento impedem a execução de executáveis ​​anômalos e rotinas relacionadas a malware, enquanto a filtragem de URL ajuda a bloquear URLs e sites mal-intencionados que podem hospedar malware.

As soluções de endpoint da Trend Micro, como as soluções Smart Protection Suites e Worry-Free Business Security, que possuem recursos de monitoramento de comportamento, podem proteger usuários e empresas de ameaças como Emotet, detectando arquivos, scripts e mensagens maliciosas, além de bloquear todos as URLs maliciosas relacionadas. A proteção Trend Micro Apex One™ emprega uma variedade de recursos de detecção de ameaças, principalmente análises comportamentais, que protegem contra scripts maliciosos, injeção, ransomware, memória e ataques a navegadores.

A solução Trend Micro™ Deep Discovery™ possui uma camada para inspeção de e-mail que pode proteger as empresas detectando anexos e URLs maliciosos. Ele pode detectar scripts remotos, mesmo que não estejam sendo baixados nos endpoints físicos. A solução do  Trend Micro™ Deep Discovery Inspector protege os clientes do Emotet por meio desta regra de DDI:

2897: EMOTET – HTTP (solicitação) – variante 4