A Check Point Research identificou amostras do malware Emotet se espalhando rapidamente a partir de picos na atividade do cavalo de Troia bancário Trickbot. Uma vez descrito como o "malware mais perigoso do mundo", o Emotet fornece aos cibercriminosos uma porta dos fundos para as máquinas comprometidas, que podem ser alugadas para grupos de ransomware para usar em suas próprias campanhas. Portanto, o retorno do Emotet é um forte indicador de futuros ataques de ransomware.
No início deste ano, uma ação internacional e bem coordenada foi realizada por autoridades policiais de oito países (Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia) com a Europol e a Eurojust, que se uniram para derrubar a infraestrutura globalmente distribuída que o Emotet criou ao longo dos anos.
Dez meses depois, em 15 de novembro de 2021, as máquinas infectadas pelo Trickbot começaram a descartar amostras do Emotet, fazendo com que os usuários baixassem arquivos zip protegidos por senha, contendo documentos maliciosos que estão reconstruindo a rede de botnet do Emotet. Além disso, o Emotet também recebeu atualizações em suas operações, adicionando alguns novos truques à sua caixa de ferramentas.
Mais de 140 mil vítimas do Trickbot
O Trickbot demonstrou uma taxa persistente de crescimento em atividade. A divisão CPR identificou mais de 140 mil vítimas afetadas pelo Trickbot em todo o mundo desde a remoção do botnet, incluindo organizações e indivíduos. O Trickbot afetou 149 países no total, o que representa mais de 75% de todos os países do mundo.
Trickbot por geografia
Quase um terço de todos os alvos do Trickbot estão localizados em Portugal e nos Estados Unidos.
Trickbot por setor
A CPR rastreou a distribuição das vítimas por setores, o que é refletido no gráfico a seguir. As vítimas de setores de alto perfil constituem mais de 50% de todas elas.
"O Emotet foi o botnet mais forte da história do cibercrime, com uma produtiva base de infecções. Agora, o Emotet revendeu sua base de infecção para outros cibercriminosos para distribuir seu malware, a qual, na maioria das vezes, foi oferecida a grupos de ransomware", avisa Lotem Finkelstein, head de Inteligência de Ameaças da Check Point Software Technologies.
De acordo com Finkelstein, o retorno do Emotet é um grande sinal de alerta para outro surto de ataques de ransomware em 2022. O Trickbot, que sempre colaborou com o Emotet, está facilitando o seu retorno ao colocá-lo sobre as vítimas infectadas. Isso permitiu ao Emotet recomeçar a partir de uma posição muito forte, e não do zero.
"Em apenas duas semanas, o Emotet tornou-se o sétimo malware mais popular, conforme nosso Índice Global de Ameaças mensal. O Emotet é nosso melhor indicador para futuros ataques de ransomware. Devemos tratar as infecções por Emotet e Trickbot como se fossem ransomware. Caso contrário, é apenas uma questão de tempo antes que tenhamos de lidar com um ataque de ransomware real", ressalta Finkelstein.
