【回馬槍】銀行木馬Emotet回歸借Trickbot網絡重新上路

    今年初,歐洲刑警成功摧毁 Emotet 的基建設備及拘捕集團多個成員,同時更利用 Emotet 的 C&C 控制中心,為受感染電腦設備剷除病毒。以為一代銀行木馬王朝殞落?錯喇,多個安全研究員均發現,Emotet 正透過另一款木馬程式 Trickbot 散播病毒,隨時準備回歸。

    Emotet 在過去十年間,一直是最令人頭痛的銀行木馬病毒,它的魔掌亦曾延伸至香港企業,去年香港電腦保安事故協調中心 (HKCERT) 就曾發表報告,指 Emotet 會同時引入另一款銀行木馬 Trickbot 及勒索軟件 Ryuk,大大增加破壞力。不過在今年初,荷蘭警方就聯同歐洲國際刑警一同出擊,成功摧毁 Emotet 集團及其 C&C 控制中心,再協助企業清除受感染的電腦病毒,一度令外界認為 Emotet 已無力東山再起。

    不過,早前網絡安全公司 Cryptolaemus、GData 及 Advanced Intel 先後發現,Trickbot 正開始將 Emotet 帶到已被自己感染的電腦設備上。專家將這個行動命名為 Operation Reacharound,並指出雖然現時未發現 Emotet 未有在新裝置上進行任何可疑行為,可能仍處於重建階段,只待集團的基建設施如 C&C 控制中心重新建立,便可繼續執行過往的盜竊資料指令,甚至引入其他勒索軟件等。專家指從捕獲的 Emotet 病毒樣本可見,最新的時間標籤顯示 Emotet 最新的更新日期為 11 月 14 日,可見集團正在積極回歸,而且正以極速重建控制中心,從現時收集到的數據可見,至少已有 246 部受感染裝置已成為對方的 C&C 控制中心,因此企業絕不能疏忽大意。

    另一非牟利組織 Abuse.ch 正將已知的 C&C 控制中心的 IP 位址羅列網上,專家呼籲企業的IT員工必須盡快將這些位址加入安全工具,同時密切留意他們發佈的更新消息,便可阻止裝備受到 Emotet 感染。

    資源來源:https://bit.ly/3Hn2YIZ

    #Emotet #HKCERT #Ransomware #Ryuk #TrickBot #勒索軟件 #銀行木馬 #香港電腦保安事故協調中心

    相關文章