Malware Emotet ressurge posicionando o Brasil como quarto país mais atacado

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, identificou amostras do malware Emotet se espalhando rapidamente a partir de picos na atividade do cavalo de Troia bancário Trickbot. Uma vez descrito como o “malware mais perigoso do mundo”, o Emotet fornece aos cibercriminosos uma porta dos fundos para as máquinas comprometidas, que podem ser alugadas para grupos de ransomware para usar em suas próprias campanhas. Portanto, o retorno do Emotet é um forte indicador de futuros ataques de ransomware.

No início deste ano, uma ação internacional e bem coordenada foi realizada por autoridades policiais de oito países (Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia) com a Europol e a Eurojust, que se uniram para derrubar a infraestrutura globalmente distribuída que o Emotet criou ao longo dos anos.

Dez meses depois, em 15 de novembro de 2021, as máquinas infectadas pelo Trickbot começaram a descartar amostras do Emotet, fazendo com que os usuários baixassem arquivos zip protegidos por senha, contendo documentos maliciosos que estão reconstruindo a rede de botnet do Emotet. Além disso, o Emotet também recebeu atualizações em suas operações, adicionando alguns novos truques à sua caixa de ferramentas.

Mais de 140 mil vítimas do Trickbot
O Trickbot demonstrou uma taxa persistente de crescimento em atividade. A divisão CPR identificou mais de 140 mil vítimas afetadas pelo Trickbot em todo o mundo desde a remoção do botnet, incluindo organizações e indivíduos. O Trickbot afetou 149 países no total, o que representa mais de 75% de todos os países do mundo.

Trickbot por geografia

Quase um terço de todos os alvos do Trickbot estão localizados em Portugal (18%) e nos Estados Unidos (14%); e o Brasil (4%) é o quarto país mais atacado pelo Trickbot.

“O Emotet foi o botnet mais forte da história do cibercrime, com uma produtiva base de infecções. Agora, o Emotet revendeu sua base de infecção para outros cibercriminosos para distribuir seu malware, a qual, na maioria das vezes, foi oferecida a grupos de ransomware”, avisa Lotem Finkelstein, líder de Inteligência de Ameaças da Check Point Software Technologies.

De acordo com Finkelstein, o retorno do Emotet é um grande sinal de alerta para outro surto de ataques de ransomware em 2022. O Trickbot, que sempre colaborou com o Emotet, está facilitando o seu retorno ao colocá-lo sobre as vítimas infectadas. Isso permitiu ao Emotet recomeçar a partir de uma posição muito forte, e não do zero.

“Em apenas duas semanas, o Emotet tornou-se o sétimo malware mais popular, conforme nosso Índice Global de Ameaças mensal. O Emotet é nosso melhor indicador para futuros ataques de ransomware. Devemos tratar as infecções por Emotet e Trickbot como se fossem ransomware. Caso contrário, é apenas uma questão de tempo antes que tenhamos de lidar com um ataque de ransomware real”, ressalta Finkelstein.

Legenda gráfico: Vítimas do Trickbot desde 1º de novembro de 2020 agrupadas por países