曾經(jīng)臭名昭著的僵尸網(wǎng)絡(luò)Emotet在2021年初被全球執(zhí)法部門重拳出擊后消失了一段時間，如今，它已卷土重來，而且勢頭兇猛。據(jù)Securityaffairs等網(wǎng)站消息，Emotet自去年11月復(fù)出以來發(fā)展迅猛，已經(jīng)感染了約13萬臺主機，遍布179個國家。

Emotet 于 2014 年被首次發(fā)現(xiàn)，最初是作為一種銀行木馬病毒進(jìn)行傳播，但隨著發(fā)展逐漸囊括了越來越多的惡意程序，如Trickbot 和 QBot，以及勒索軟件Conti、ProLock、Ryuk和 Egregor等，構(gòu)建成了一個龐大的僵尸網(wǎng)絡(luò)。2021 年 11 月，來自多家網(wǎng)絡(luò)安全公司(Cryptolaemus、GData和 Advanced Intel)的研究人員報告稱，攻擊者正利用TrickBot 惡意軟件在受感染設(shè)備上投放 Emote 加載程序，專家們跟蹤了旨在利用TrickBot的基礎(chǔ)設(shè)施重建Emotet僵尸網(wǎng)絡(luò)的活動。

研究人員指出，新的 Emotet具有了一些新功能：

• 除了規(guī)避檢測和分析，還能對網(wǎng)絡(luò)流量進(jìn)行加密，以及將進(jìn)程列表分離到自己的模塊中;
• 采用橢圓曲線加密 (ECC) 方案，代了用于網(wǎng)絡(luò)流量保護和驗證的 RSA加密;
• 新版本只有在與C2建立連接后才會部署進(jìn)程列表模塊;
• 添加了更多信息收集功能，以更好地進(jìn)行系統(tǒng)分析，而以前，Emotet 只會發(fā)回正在運行的進(jìn)程列表。

但與之前的版本相似，Emotet 的大部分C2基礎(chǔ)設(shè)施位于美國和德國，其次是法國、巴西、泰國、新加坡、印度尼西亞、加拿大、英國和印度;在機器人(Bot)方面，則重點分布在日本、印度、印度尼西亞、泰國、南非、墨西哥、美國、中國、巴西和意大利。分析人士認(rèn)為，排名靠前的國家是由于這些地區(qū)擁有較多過時且易受攻擊的Windows設(shè)備。

去年年初，由荷蘭、德國、美國、英國、法國、立陶宛、加拿大和烏克蘭組成的執(zhí)法部門曾開展行動，破壞了Emotet相關(guān)基礎(chǔ)設(shè)施。由此看來，這次行動并不徹底，導(dǎo)致Emotet在沉寂大半年后死灰復(fù)燃。