A Check Point identificou amostras do malware Emotet se espalhando rapidamente a partir de picos na atividade do cavalo de Troia bancário Trickbot. Uma vez descrito como o “malware mais perigoso do mundo”, o Emotet fornece aos cibercriminosos uma porta dos fundos para as máquinas comprometidas, que podem ser alugadas para grupos de ransomware para usar em suas próprias campanhas. Portanto, o retorno do Emotet é um forte indicador de futuros ataques de ransomware.
No início deste ano, uma ação internacional e bem coordenada foi realizada por autoridades policiais de oito países (Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia) com a Europol e a Eurojust, que se uniram para derrubar a infraestrutura globalmente distribuída que o Emotet criou ao longo dos anos.
Dez meses depois, em 15 de novembro de 2021, as máquinas infectadas pelo Trickbot começaram a descartar amostras do Emotet, fazendo com que os usuários baixassem arquivos zip protegidos por senha, contendo documentos maliciosos que estão reconstruindo a rede de botnet do Emotet. Além disso, o Emotet também recebeu atualizações em suas operações, adicionando alguns novos truques à sua caixa de ferramentas.
Mais de 140 mil vítimas do Trickbot
O Trickbot demonstrou uma taxa persistente de crescimento em atividade. A divisão CPR identificou mais de 140 mil vítimas afetadas pelo Trickbot em todo o mundo desde a remoção do botnet, incluindo organizações e indivíduos. O Trickbot afetou 149 países no total, o que representa mais de 75% de todos os países do mundo.
Figura 2. Dinâmica do Trickbot de máquinas infectadas desde 1º de novembro de 2020
Trickbot por geografia
Quase um terço de todos os alvos do Trickbot estão localizados em Portugal e nos Estados Unidos.
Figura 3. Vítimas do Trickbot desde 1º de novembro de 2020 agrupadas por países
Trickbot por setor
A CPR rastreou a distribuição das vítimas por setores, o que é refletido no gráfico a seguir. As vítimas de setores de alto perfil constituem mais de 50% de todas elas.
Figura 4. Vítimas do Trickbot desde 1º de novembro de 2020 agrupadas por setores
“O Emotet foi o botnet mais forte da história do cibercrime, com uma produtiva base de infecções. Agora, o Emotet revendeu sua base de infecção para outros cibercriminosos para distribuir seu malware, a qual, na maioria das vezes, foi oferecida a grupos de ransomware”, avisa Lotem Finkelstein, head de Inteligência de Ameaças da Check Point Software Technologies.
De acordo com Finkelstein, o retorno do Emotet é um grande sinal de alerta para outro surto de ataques de ransomware em 2022. O Trickbot, que sempre colaborou com o Emotet, está facilitando o seu retorno ao colocá-lo sobre as vítimas infectadas. Isso permitiu ao Emotet recomeçar a partir de uma posição muito forte, e não do zero.
“Em apenas duas semanas, o Emotet tornou-se o sétimo malware mais popular, conforme nosso Índice Global de Ameaças mensal. O Emotet é nosso melhor indicador para futuros ataques de ransomware. Devemos tratar as infecções por Emotet e Trickbot como se fossem ransomware. Caso contrário, é apenas uma questão de tempo antes que tenhamos de lidar com um ataque de ransomware real”, ressalta Finkelstein.