Waspada! Emotet Botnet Telah Menginfeksi Lebih Dari 100.000 Komputer

Emotet Botnet yang menyeramkan, yang muncul kembali pada November 2021 setelah absen 10 bulan, menunjukkan indikasi ekspansi berkelanjutan, mengumpulkan segerombolan lebih dari 100.000 host yang terinfeksi untuk operasi jahat.

"Sementara Emotet belum mencapai ukuran yang sama dengan sebelumnya, botnet menampilkan kebangkitan yang kuat dengan total sekitar 130.000 bot berbeda yang tersebar di 179 negara sejak November 2021," tulis para ahli Lumen Black Lotus Labs dalam sebuah pernyataan.

Sebelum kematiannya pada akhir Januari 2021 sebagai bagian dari operasi penegakan hukum terkoordinasi yang dijuluki "Ladybird," Emotet telah menginfeksi lebih dari 1,6 juta perangkat di seluruh dunia, bertindak sebagai saluran bagi penjahat dunia maya untuk menginstal jenis malware lain, seperti trojan perbankan atau ransomware, ke sistem yang dikompromikan.

Virus ini pertama kali muncul pada November 2021, memanfaatkan TrickBot sebagai mekanisme pengiriman. TrickBot menutup infrastruktur penyerangannya akhir bulan lalu setelah banyak anggota penting geng dimasukkan ke dalam kartel Conti ransomware.

Geng Conti diklaim telah mengorganisir kebangkitan Emotet dalam upaya untuk mengubah taktik sebagai reaksi terhadap pengawasan penegakan hukum yang meningkat terhadap kegiatan distribusi malware TrickBot.

Menurut Black Lotus Labs, "agregasi bot sebenarnya tidak dimulai dengan sungguh-sungguh sampai Januari [2022]," dan variasi baru Emotet menggunakan kriptografi kurva elips (ECC) untuk mengenkripsi komunikasi jaringan daripada algoritma enkripsi RSA.

Fitur penting lainnya adalah kapasitasnya untuk mengumpulkan informasi sistem tambahan dari workstation yang dikompromikan di samping daftar proses saat ini.

Selain itu, arsitektur botnet Emotet diyakini mencakup sekitar 200 server command-and-control (C2), dengan mayoritas domain berada di Amerika Serikat, Jerman, Prancis, Brasil, Thailand, Singapura, Indonesia, Kanada, Inggris, dan India.

Bot yang terinfeksi, di sisi lain, sangat terkonsentrasi di Asia, terutama Jepang, India, Indonesia, dan Thailand, diikuti oleh Afrika Selatan, Meksiko, AS, Cina, Brasil, dan Italia. "Ini tidak mengejutkan mengingat dominannya host Windows yang rentan atau ketinggalan jaman di wilayah tersebut," kata para peneliti.

"Pertumbuhan dan distribusi bot merupakan indikator penting dari kemajuan Emotet dalam memulihkan infrastrukturnya yang dulu luas," kata Black Lotus Labs. "Setiap bot adalah pijakan potensial untuk jaringan yang didambakan dan menghadirkan peluang untuk menyebarkan Cobalt Strike atau akhirnya dipromosikan menjadi Bot C2."