由于执法机构于2021年4月25日星期日准备向IMOLETET BOTNET提供最终的致命打击,REDSCAN的威胁分析师已经向安全团队发出了提醒,以至于他们有几乎独特的机会,以获得有价值的网络安全性,并且机会窗口正在关闭。
从现在开始的几天,一个最终的Impleet更新,Emotetloader.dll文件将被传送到所有受感染的设备,并将通过删除Windows注册表中的RUN键来删除MOTETET恶意软件,以确保其模块无法自动启动,并且所有运行ModeTet流程的服务器终止。
然而,据说Redscan威胁情报分析Mariya Grozdanova是很重要的,请注意,此动作不会删除通过ModeTet感染设备的任何其他恶意软件。
“这只留下了安全队,只有几天的时间才能揭示”动力人工制品“,以及他们的组织是否受到MODETET的损害,以及建立其他相关恶意软件是否存在于网络上,”她说。
“除非现在进行了适当的取证分析,否则安全团队将错过识别可能具有与情感相同的More Modus Operani的恶意软件群体的独特机会,使他们处于较弱的位置来防御未来的攻击。”
2014年开始生命的情绪是一个相当磨坊的银行业的木马,演变成一个高度危险的恶意软件和赎金瓶交付僵尸网络,并将2020年牢固地建立为最普遍的网络威胁之一世界。
在1月的协调国际股票中抛售之前,多个网络犯罪团体使用了MODELET,作为恶意软件 - AS-Service(MAAS)模型的一部分,使得能够初步访问目标环境,以建立持久性并用其他第三组建立持久性并感染它们-Party棕褐色,包括Ryuk和Trickbot。
“乐乐在安全队的一侧是一个刺,多年来,自2014年以来已经感染了数十万台设备,”格罗塞纳瓦娃表示。“在它的高峰期,情绪上的基础设施由全球数百人组成,允许运营商传播到新机器,提供MAA,提高网络的恢复力。4月25日星期日,没有一丝痕迹,它会消失 - 非常简单 - 为安全团队。“
虽然缉获了兴趣的基础设施对网络罪犯的严重破坏性,但目前的变体使目前的变体非常努力,Grozdanova警告庆祝最终政变的政变 - 庆祝决赛 - 它的回报无法排除。
“不幸的是,僵尸网络经常以一些形式返回,并且非常熟悉的僵尸网络的新变种有时会在新的威胁演员的控制下返回,”她说。“爱情背后的一些操作员仍然很大。他们很可能拥有当局缉获的受损数据的拷贝副本,以及尚未恢复的其他数据集。“
Grozdanova表示,它仍然明显成为逃避逮捕的情感运营商可以一起俱乐部重新创建它。“从历史上看,情绪的运营商在活动中使用了长期休息,以改善他们的恶意软件,”她说。“这意味着,情绪的运营商将使用这个机会使得加载程序恶意软件更具弹性,例如,通过使用多态性技术来抵消未来的协调动作。他们还可以使用ModeTe源代码分支来创建较小的独立僵尸网络。“
无论他们是否使用继承人到MODETET,MAAS型产品的利润丰厚性意味着几乎可以确定,使用其他分布方法(如QuickBot或Qakbot)繁殖,何时会填充更多的恶意。
无论感染模式如何,组织都显然无法放松卫兵,Grozdanova建议侧重于多层防御的方法,投资下一个杀毒系统和终点检测和响应,以及采取诸如此案的行动禁用宏并使用与下一代防火墙集成的沙箱。
捍卫者可以了解更多关于情绪的信息,并在Redscan白皮书中获得更多关于保护自己的恶意软件装载机的深入指导。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。