Lebih dari 100.000 Komputer Terinfeksi Botnet Emotet

Botnet Emotet Bangkit Kembali - Botnet emotet telah muncul kembali pada November 2021 setelah absen selama 10 bulan, menunjukkan tanda-tanda ekspansi yang terus berlanjut, mengumpulkan lebih dari 100.000 host terinfeksi untuk operasi jahat.

"Sementara botnet emotet belum mencapai ukuran yang sama seperti sebelumnya, botnet menampilkan kebangkitan yang kuat dengan total sekitar 130.000 bot berbeda yang tersebar di 179 negara sejak November 2021," tulis para ahli Lumen Black Lotus Labs dalam sebuah pernyataan.

Sebelum dimatikan pada akhir Januari 2021 sebagai bagian dari operasi penegakan hukum terkoordinasi yang disebut "Ladybird," Botnet emotet telah berhasil menginfeksi lebih dari 1,6 juta perangkat di seluruh dunia. Fungsinya sebagai saluran bagi penjahat dunia maya untuk menginstal jenis malware lain, seperti trojan perbankan atau ransomware, ke sistem yang dikompromikan.

Virus ini pertama kali muncul pada November 2021, memanfaatkan TrickBot sebagai mekanisme pengiriman. TrickBot menutup infrastruktur penyerangannya akhir bulan lalu setelah banyak anggota kunci dimasukkan ke dalam kelompok Conti Ransomware.

Fitur Baru Botnet Emotet

Kelompok Conti Ransomware diklaim telah mengorganisir kebangkitan botnet emotet dalam upaya untuk mengubah taktik sebagai reaksi terhadap pengawasan penegakan hukum yang meningkat terhadap kegiatan distribusi malware TrickBot.

Peta Serangan Botnet Emotet

Menurut Black Lotus Labs, "agregasi bot sebenarnya tidak dimulai dengan sungguh-sungguh sampai Januari [2022]," dan variasi baru botnet emotet menggunakan Elliptic Curve Cryptography (ECC) untuk mengenkripsi komunikasi jaringan daripada algoritma enkripsi RSA.

Fitur penting lainnya adalah kapasitasnya untuk mengumpulkan informasi sistem tambahan dari workstation yang dikompromikan di samping daftar proses saat ini.

Selain itu, arsitektur botnet emotet diyakini mencakup sekitar 200 server command-and-control (C2), dengan mayoritas domain berada di Amerika Serikat, Jerman, Prancis, Brasil, Thailand, Singapura, Indonesia, Kanada, Inggris, dan India.

Bot yang terinfeksi, di sisi lain, sangat terkonsentrasi di Asia, terutama Jepang, India, Indonesia, dan Thailand, diikuti oleh Afrika Selatan, Meksiko, AS, Cina, Brasil, dan Italia. "Ini tidak mengejutkan mengingat dominannya host Windows yang rentan atau ketinggalan jaman di wilayah tersebut," kata para peneliti.

"Pertumbuhan dan distribusi bot merupakan indikator penting dari kemajuan Emotet dalam memulihkan infrastrukturnya yang dulu luas," kata Black Lotus Labs. "Setiap bot adalah pijakan potensial untuk jaringan yang didambakan dan menghadirkan peluang untuk menyebarkan Cobalt Strike atau akhirnya dipromosikan menjadi Bot C2."