14万个理由说明为什么Emotet在从死亡中归来的过程中会借助TrickBot

在一个一年多的时间里，TooBoT恶意软件的操作员在试图拆除其基础设施后，已经在149个国家感染了大约140000名受害者，即使高级木马正在迅速成为Emotet的切入点，而另一个僵尸网络则是在2021年初被攻陷的。

自2020年11月1日以来发现的大多数受害者来自葡萄牙（18%）、美国（14%）和印度（5%），其次是巴西（4%）、土耳其（3%）、俄罗斯（3%）和中国（3%），在与《黑客新闻》分享的一份报告中提到了Check Point Research，该报告与政府、金融和，以及新兴制造业实体成为受影响最大的垂直行业

“Emotet是未来勒索软件攻击的有力指标，因为恶意软件为勒索软件团伙提供了进入受损机器的后门，”研究人员说，他们在过去六个月里检测到223次不同的诡计活动

TrickBot和Emotet都是僵尸网络，这是一个由受恶意软件感染的互联网连接设备组成的网络，可以执行一系列恶意活动。TooBoT起源于C++银行木马，2016作为DyRe恶意软件的继承者，具有窃取财务细节、账户凭证和其他敏感信息的能力；横向分布在网络上；并丢弃额外的有效载荷，包括Conti、Diavol和Ryuk勒索软件

但这些行动只是暂时的挫折，恶意软件作者对僵尸网络代码进行了更新，使其更具弹性，适合发动进一步的攻击。更重要的是，11月和12月的TrickBot感染也推动了受损机器上Emotet恶意软件的激增，这标志着臭名昭著的僵尸网络在经过协调一致的执法努力以阻断其传播后，在间隔10个月后又重新出现

英特尔471在对新的Emotet样本进行独立分析时表示，它发现了“明显的差异，包括用于通信的加密、附加命令以及通信协议中的若干部分的重新配置，”并补充道“对Emotet密钥和IP缓冲区的进一步调查还显示，两个单独的僵尸网络被用来分发恶意软件。”

“当Emotet重生时，它无法选择一个比Trickbot更好的平台作为交付服务，”研究人员指出

“随着我们进入2022年，Emotet的回归是勒索软件攻击再次激增的一个重要警告信号，”Check Point威胁情报主管洛特姆·芬克尔斯坦（Lotem Finkelstein）说。“Trickbot一直与Emotet合作，通过将Emotet投放到受感染的患者身上，帮助Emotet卷土重来。这让Emotet从一个非常坚定的立场开始，而不是从头开始。”

还不止这些。据Cryptolaemus网络安全专家称，新的Emotet构件被发现，将钴攻击信标直接投放到受损系统上，而不是在安装攻击后工具之前投放中间有效载荷，这似乎是战术上的进一步升级

“这是一件大事。通常Emotet会丢弃TrickBot或QakBot，这反过来又会丢弃Cobalt Strike。从第一次感染到勒索软件之间通常有大约一个月的时间。使用Emotet直接丢弃Cobalt Strike，延迟可能会短得多，”安全研究员马库斯·哈钦斯（Marcus Hutchins）在推特上写道