根据惠普公司的最新数据,今年第二季度和第三季度,检测到的使用Emotet木马传播的勒索软件攻击激增了1200%以上。
收购安全公司Bromium之后,惠普的Sure Click部门开始在端点捕获恶意软件并在安全容器中运行。
研究人员发现,在销声匿迹一段时间后Emotet又“满血复活”,今年8月份传播Emotet的大规模恶意垃圾邮件活动达到高潮。
Emotet通常用作恶意软件的加载程序,提供对第三方威胁的访问权限,以部署TrickBot和QakBot感染以及人工操纵的勒索软件。
对于后一种威胁(勒索软件),作为攻击的第一步,攻击者通常会利用Emotet访问受害者网络进行侦察工作。
惠普公司高级恶意软件分析师亚历克斯·霍兰德警告说,按照目前的模式,Emotet可能会出现在每周垃圾邮件中,直到2021年初。
“针对大型企业的勒索软件攻击符合Emotet等僵尸网络运营商的利益诉求,其中许多运营商还热衷于向勒索软件攻击者兜售受感染系统的访问权。在地下网络论坛和黑市中,兜售访问权的销售人员会描述受感染企业的特征(例如规模和收入),以吸引购买者。”
“尤其是勒索软件运营商,在其方法上越来越有针对性,以最大限度地提高赎金价码,这一变化使勒索软件赎金平均增加了60%。”
根据惠普的数据,Emotet“王者归来”后,日本和澳大利亚受到的打击尤其严重,分别占恶意软件“收件人”的32%和20%。
勒索软件攻击者通常使用“会话劫持”技术来扩大战果,对用户的收件箱进行入侵和监控,以便Emotet可以使用恶意附件或链接来回复合法的电子邮件。
除Emotet外,勒索软件攻击激增与另一个臭名昭著的特洛伊木马TrickBot的活动密切相关,该木马经常与Emotet配合使用。