Amostras do malware Emotet foram identificadas se espalhando rapidamente a partir de picos na atividade do cavalo de Troia bancário Trickbot. Descrito como o “malware mais perigoso do mundo”, o Emotet fornece aos cibercriminosos uma porta dos fundos (backdoor) para as máquinas comprometidas, que podem ser alugadas para grupos de ransomware para serem usadas em suas próprias campanhas. Portanto, o retorno do Emotet é um forte indicador de futuros ataques de ransomware.
A retomada das atividades do Emotet foi detectada pela equipe de pesquisadores de segurança da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software.
No início deste ano, uma ação internacional e bem coordenada foi realizada por autoridades policiais de oito países — Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia — com a Europol e a Eurojust, que se uniram para derrubar a infraestrutura globalmente distribuída que o Emotet criou ao longo dos anos.
Dez meses depois, em 15 de novembro deste ano, as máquinas infectadas pelo Trickbot começaram a descartar amostras do Emotet, fazendo com que os usuários baixassem arquivos zip protegidos por senha, contendo documentos maliciosos que estão reconstruindo a rede de botnet do Emotet. Além disso, o Emotet também recebeu atualizações em suas operações, adicionando alguns novos truques à sua caixa de ferramentas.
Figura 1. O gráfico abaixo mostra as vítimas do Emotet no ano de 2021
Mais de 140 mil vítimas do Trickbot
O Trickbot demonstrou uma taxa persistente de crescimento em atividade. A divisão CPR identificou mais de 140 mil vítimas afetadas pelo Trickbot em todo o mundo desde a remoção do botnet, incluindo organizações e indivíduos. O Trickbot afetou 149 países no total, o que representa mais de 75% de todos os países do mundo.
Figura 2. Dinâmica do Trickbot de máquinas infectadas desde 1º de novembro de 2020
37% dos smartphones no mundo têm chip com vulnerabilidades
Cavalo de Troia Mekotio retorna por meio hackers brasileiros
Trickbot por geografia
Quase um terço de todos os alvos do Trickbot estão localizados em Portugal e nos Estados Unidos.
Figura 3. Vítimas do Trickbot desde 1º de novembro de 2020 agrupadas por países
Trickbot por setor
A CPR rastreou a distribuição das vítimas por setores, o que é refletido no gráfico a seguir. As vítimas de setores de alto perfil constituem mais de 50% de todas elas.
Figura 4. Vítimas do Trickbot desde 1º de novembro de 2020 agrupadas por setores
“O Emotet foi a botnet mais forte da história do cibercrime, com uma produtiva base de infecções. Agora, o Emotet revendeu sua base de infecção para outros cibercriminosos para distribuir seu malware, a qual, na maioria das vezes, foi oferecida a grupos de ransomware”, avisa Lotem Finkelstein, head de inteligência em ameaças da Check Point Software.
De acordo com Finkelstein, o retorno do Emotet é um grande sinal de alerta para outro surto de ataques de ransomware em 2022. O Trickbot, que sempre colaborou com o Emotet, está facilitando o seu retorno ao colocá-lo sobre as vítimas infectadas. Isso permitiu ao Emotet recomeçar a partir de uma posição muito forte, e não do zero.
“Em apenas duas semanas, o Emotet tornou-se o sétimo malware mais popular, conforme nosso Índice Global de Ameaças mensal. O Emotet é nosso melhor indicador para futuros ataques de ransomware. Devemos tratar as infecções por Emotet e Trickbot como se fossem ransomware. Caso contrário, é apenas uma questão de tempo antes que tenhamos de lidar com um ataque de ransomware real”, ressalta Finkelstein.
