Emotet僵尸网络的最新复兴蔓延到超过10万台计算机

阴险的表情组织僵尸网络在2021年11月经历了10个月的中断之后，再次出现了稳定增长的迹象，聚集了一批超过100000名受感染的主机进行恶意活动。

“尽管Emotet还没有达到它曾经拥有的规模，但僵尸网络显示出强劲复苏，自2021年11月以来，共有大约130000个独特的机器人遍布179个国家，”来自LuMeN的黑莲花实验室的研究人员在一份报告中说。

Emotet在2021年1月下旬作为一个协调执法行动的一部分被称为“瓢虫”，在全球范围内感染了不少于160万个设备，作为网络罪犯的管道，将其他类型的恶意软件，如银行木马或勒索软件，安装到受损的系统上。

恶意软件正式在2021年11月重新使用DooBoT作为交付工具，后者在上个月底关闭了攻击基础设施，之后该小组的几个关键成员被吸收到了康泰软件公司卡特尔。

据说，Emotet的复活是由Conti帮派自己策划的，目的是为了改变策略，以应对执法部门对该骗子恶意软件分发活动的日益严格的审查。

Black Lotus Labs指出，“直到[2022]年1月，机器人的聚合才真正开始”，添加了新的Emotet变体，取代了RSA加密方案，转而使用椭圆曲线加密（ECC）来加密网络流量。

其功能的另一个新增功能是，除了从受损机器收集正在运行的进程列表之外，它还能够收集其他系统信息。

更重要的是，Emotet的僵尸网络基础设施据说包含了将近200个命令和控制（C2）服务器，其中大部分域名位于美国、德国、法国、巴西、泰国、新加坡、印度尼西亚、加拿大、英国和印度。

另一方面，受感染的机器人主要集中在亚洲，主要是日本、印度、印度尼西亚和泰国，其次是南非、墨西哥、美国、中国、巴西和意大利。“考虑到该地区脆弱或过时的Windows主机占主导地位，这并不奇怪，”研究人员说。

Black Lotus Labs指出：“机器人的增长和分布是Emotet在恢复其曾经庞大的基础设施方面取得进展的一个重要指标。”。“每个机器人都是梦寐以求的网络的潜在立足点，提供了部署Cobalt Strike或最终升级为机器人C2的机会”。