Botnet Emotet yang terkenal masih terus didistribusikan di alam liar, dan sekarang telah menginfeksi 130.000 sistem di 179 negara.
Aktivitas emotet berhenti pada 2019 saat versi utama keduanya beredar, dan malware baru kembali pada November 2021, dengan bantuan Trickbot.
Analis ancaman di lab Black Lotus telah memutuskan untuk mendalami “Epoch 3” Emotet untuk mengidentifikasi fitur baru dan memetakan pola distribusinya saat ini.
Seperti yang Anda bisa lihat di bawah, botnet Emotet mulai perlahan-lahan membuat ulang dirinya sendiri pada bulan November, melihat distribusi yang jauh lebih besar melalui kampanye phishing yang dimulai pada Januari 2022.
Kampanye Emotet baru juga menyertakan fitur seperti skema kriptografi kurva eliptik (ECC) baru yang menggantikan enkripsi RSA yang digunakan untuk perlindungan dan validasi lalu lintas jaringan.
Selain itu, pembuat malware kini telah menambahkan lebih banyak kemampuan pengumpulan info untuk profil sistem yang lebih baik, sedangkan sebelumnya, Emotet hanya akan mengirim kembali daftar proses yang berjalan.
Black Lotus melaporkan bahwa saat ini ada 200 C2 unik yang mendukung kebangkitan Emotet, dengan jumlah yang tumbuh perlahan tapi pasti. Jumlah hari aktivitas rata-rata untuk C2 saat ini adalah 29.
Seperti sebelumnya, sebagian besar infrastruktur C2 Emotet terletak di Amerika Serikat dan Jerman, diikuti oleh Prancis, Brasil, Thailand, Singapura, Indonesia, Kanada, Inggris, dan India.
Dalam hal distribusi bot, fokusnya adalah di Jepang, India, Indonesia, Thailand, Afrika Selatan, Meksiko, Amerika Serikat, China, Brasil, dan Italia.
Analis ancaman percaya bahwa alasan untuk tiga negara pertama yang menempati urutan teratas daftar ini adalah jumlah mesin Windows yang ketinggalan jaman dan dengan demikian rentan di wilayah tersebut.
Salinan Windows bajakan yang dengan sengaja memutuskan konektivitasnya ke server pembaruan Microsoft tetap rentan terhadap serangan malware seperti milik Emotet.
Selengkapnya: Bleeping Computer
