Os ataques detectados usando o trojan Emotet aumentaram mais de 1.200% entre o segundo e o terceiro trimestre deste ano, contribuindo inclusive para o aumento das campanhas de ransomware, de acordo com os dados mais recentes da HP Inc.
Impulsionada pela aquisição da Bromium, a unidade HP Sure Click da empresa captura a incidência de malware em terminais e o executa em contêineres seguros. A equipe da HP Sure Click detectou um “aumento grande e sustentado em campanhas maliciosas de spam” espalhando o Emotet, especialmente em agosto. O Emotet é frequentemente usado como carregador, fornecendo acesso a grupos de ameaças para implantar infecções secundárias de TrickBot e QakBot, bem como ransomware operado por hackers.
No caso da última ameaça, os cibercriminosos costumam usar o acesso às redes das vítimas fornecidas pelo Emotet para realizar o reconhecimento como o primeiro estágio dos ataques.
O analista sênior de malware da HP Inc., Alex Holland, alertou que, de acordo com os padrões atuais, o Emotet provavelmente aparecerá nas execuções semanais de spam até o início de 2021. “O direcionamento das empresas é consistente com os objetivos dos operadores do Emotet, muitos dos quais estão ansiosos para intermediar o acesso a sistemas comprometidos para agentes de ransomware.
Veja isso
Rede de bots Emotet lidera lista de ameaças na internet em julho
Emotet provoca superaquecimento de PCs e trava rede
Em fóruns e mercados ilegais, corretores de acesso geralmente anunciam características sobre organizações que violaram — como tamanho e receita — para atrair compradores”, acrescentou ele, em declaração à Infosecurity.
“Os operadores de ransomware, em particular, estão se tornando cada vez mais direcionados em sua abordagem para maximizar os pagamentos em potencial, se afastando de suas táticas usuais de spray e rezar. Isso contribuiu para o aumento da média de pagamentos de ransomware, que aumentou 60%”, completou Holland.
Japão e a Austrália foram afetados de maneira particularmente forte por esse aumento da atividade do Emotet, representando 32% e 20% dos destinatários, de acordo com uma análise dos TLDs para os quais o malware foi enviado.
Os invasores normalmente usam técnicas de “sequestro de thread”, em que a caixa de entrada de um usuário é comprometida e monitorada para que o Emotet possa responder a um e-mail legítimo com anexos ou links maliciosos. Isso torna o sucesso mais provável, de acordo com a HP Inc.
O recente aumento nas infecções de ransomware a hospitais dos EUA estava intimamente ligado à atividade de outro trojan notório, o TrickBot, que é frequentemente usado em conjunto com o Emotet.