Az EMOTET nem is olyan régen még a leggyakoribb számítógépes fertőzésnek (malware) számított, egészen tavaly év elejéig, amikor rendvédelmi szervek nemzetközi összefogással átvették az irányítást az EMOTET-et vezérlő szerverek felett, és két személyt letartóztatva megállították a botnetet. A Cryptolaemus jelzése szerint azonban ismeretlen fenyegetési szereplők most az EMOTET infrastruktúra újjáépítésén dolgoznak.
(Az EMOTET-et a kiberbűnözők legfőképp arra használták, hogy kéretlen levelek csatolmányaiban – például fertőzött Excel fájlokként – rejtőzve bejussanak az áldozat eszközébe, majd egyrészt onnan magukat továbbküldve SPAM-elésbe kezdjenek, másrészt további káros kódokat töltsenek le, például a banki adatok ellopására készített Trickbotot, vagy egy másik tipikus példánál maradva: zsarolóvírusokat.)
A Cryptolaemus szerint a kiberbűnözők az „Operation Reacharoundra” keresztelt művelet során jelenleg épp a TrickBottal már fertőzött gépekre igyekeznek EMOTET-tes DLL fájlokat és más binárisokat telepíteni, és ezzel egy új EMOTET hálózatot létrehozni. Ennek segítségével a korábbi gyakorlatnak megfelelően újraindíthatják a fertőzött e-mailek tömeges kiküldését, új áldozatokra vadászva. Elemzők már erre is találtak néhány példát, és arra figyelmeztetnek, hogy egy újjáéledő EMOTET nyomán a zsarolóvírus támadások is jelentősen elszaporodhatnak.
Az Urlhaus oldalán friss minták is találhatóak.
Hálózati adminok számára az NBSZ NKI javasolja az ismertté vált fertőzési indikátorok tiltását a határvédelmi eszközökön!
Emellett Intézetünk rendkívüli tájékoztatót is adott ki a témában, amelyet innen érhet el.