Autoriteiten voeren hun inspanningen op om het brein achter Emotet te veroveren

Wetshandhavingsautoriteiten achter Operatie Endgame zijn op zoek naar informatie over een persoon die de naam Odd draagt ​​en naar verluidt het brein achter de Emotet-malware is.

Er wordt gezegd dat Odd de afgelopen jaren ook de bijnamen Aron, C700, Cbd748, Ivanov Odd, Mors, Morse, Veron droeg, volgens een video die door de agentschappen is vrijgegeven.

“Met wie werkt hij samen? Wat is zijn huidige product?”, vervolgt de video, wat suggereert dat hij waarschijnlijk niet alleen handelt en mogelijk samenwerkt met anderen aan andere malware dan Emotet.

De bedreigingsactoren achter Emotet zijn door de cyberbeveiligingsgemeenschap gevolgd onder de namen Gold Crestwood, Mealybug, Mummy Spider en TA542.

Oorspronkelijk ontworpen als een banktrojan, is het uitgegroeid tot een tool voor bredere doeleinden die andere payloads kan leveren, in de trant van malware zoals TrickBot, IcedID, QakBot en andere. Eind 2021 dook het opnieuw op, zij het als onderdeel van campagnes met een laag volume, na een wetshandhavingsoperatie waarbij de infrastructuur werd stilgelegd.

Nog in maart 2023 bleken aanvalsketens die een bijgewerkte versie van de malware verspreidden gebruik te maken van e-mailbijlagen van Microsoft OneNote in een poging beveiligingsbeperkingen te omzeilen. Sinds begin april 2023 is er geen nieuwe Emotet-gerelateerde activiteit in het wild waargenomen.

De oproep volgt op een ingrijpende coördinatie-inspanning waarbij vier arrestaties en meer dan 100 servers in verband met malware-loader-operaties zoals IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee en TrickBot werden verwijderd in een poging het Initial Access Broker (IAB)-ecosysteem uit te roeien. die ransomware-aanvallen voedt.

De Duitse federale recherche (ook bekend als het Bundeskriminalamt) heeft ook de identiteit onthuld van acht cybercriminelen waarvan wordt aangenomen dat ze een cruciale rol hebben gespeeld in de malware-operaties SmokeLoader en Trickbot. Ze zijn sindsdien allemaal toegevoegd aan de EU Most Wanted List.

“Al deze kwaadaardige diensten bevonden zich in het arsenaal van Russische cybercriminaliteitsorganisaties als BlackBasta, Revil en Conti en hielpen hen tientallen westerse bedrijven aan te vallen, waaronder medische instellingen”, zei de Nationale Politie van Oekraïne (NPU) in een verklaring.

Cyberaanvallen waarbij de malwarefamilies betrokken zijn, hebben gebruik gemaakt van gecompromitteerde accounts om zich op slachtoffers te richten en kwaadaardige e-mails te verspreiden, waarbij de botnetoperators gestolen inloggegevens gebruiken die zijn verkregen met behulp van trojans voor externe toegang (RAT's) en informatiestelers om initiële toegang te krijgen tot netwerken en organisaties.

Uit gegevens die het Zwitserse cyberbeveiligingsbedrijf PRODAFT in de nasleep van de operatie met The Hacker News heeft gedeeld, blijkt dat criminele actoren op ondergrondse fora als XSS.IS alert zijn, waarbij de moderator – codenaam bratva – er bij anderen op aandringt voorzichtig te zijn en te controleren of hun virtuele privéleven veilig is. servers (VPS'en) zijn tussen 27 en 29 mei 2024 uitgevallen.

Er is ook ontdekt dat Bratva de namen deelt van de acht mensen die het Bundeskriminalamt heeft onthuld, terwijl hij opmerkte dat Operatie Endgame een van de “verregaande gevolgen is van gelekte Conti-logboeken (ransomware).

Andere acteurs kwamen naar het forum om zich hardop af te vragen wie de chats zou hebben gelekt en wezen op de mogelijkheid van een ‘rat’ die samenwerkt met de wetshandhaving. Ze beweerden ook dat Roemenië en Zwitserland geen gegevens zouden delen over criminele actoren die binnen hun grenzen verblijven, tenzij er sprake is van een ‘extreme dreiging’ zoals terrorisme.

“(De) FBI kan alles overvallen onder de noemer ‘terrorisme’”, zei een gebruiker die de alias phant0m draagt.

Thijs Van der Does