Emotetの活動が再び確認されているようです。Emotetの犯罪インフラは欧州刑事警察機構(Eurpol)と欧米各国との取り組みによって今年1月にテイクダウンされ、4月には感染ホストからEmotetが削除されて壊滅が図られました。しかし、それから1年も経たないうちにEmotetは活動を再開したようです。
有害な.docファイルや.xlsファイルが送られている
ドイツ政府のサイバーセキュリティ担当部門であるBSIは11月16日に発出したセキュリティアラートでEmotetの新しい亜種がTrickbotに感染しているシステムで確認されたことを明らかにしEmotetが活動を再開したことを伝えました。BSIによると、新しいEmotetのボットが形成されており、それらボットからスパムメールも送信されているということです。有害な.docファイルや.xlsファイルがバスワードで保護されたZIPアーカイブによって送信されているようです。
Emotetは2014年にバンキング認証情報と機密情報を盗み出すバンキング型トロイの木馬のマルウェアとして発見されました。その後、新しい機能が次々と追加され、他のマルウェアを配信する機能を有するマルウェアへと変貌しました。Emotetを介してTrickBotやQakBotなどのマルウェアがダウンロードされ、さらにRyukなどのランサムウェアが展開されたことから、欧米当局がサイバー犯罪のインフラとして機能しているEmotetの壊滅に乗り出し、今年1月にテイクダウンが発表されるに至りました。
BleepigComputerの報道によると今回、新たに確認されたEmotetは、以前はEmotetがダウンローダーとなって配布していたTrickbotによってダウンロードされているということなので、新たなEmotetのインフラはTrickbotのインフラを足がかりにして再構築された経緯があるようです。Emotetの新たな活動については、日本でもJPCERT/CCが11月16日にThe Recordの記事を引用する形で伝えるとともにEmotetの感染を目的としたスパムメールが着信している情報があると明らかにしています。
今回、新しいEmotetのインフラ形成にひと役かっているとみられるTrickbotのインフラについては、昨年、マイクロソフトが米大統領選の選挙インフラを保護することを目的にTrickbotのボットネットを破壊する措置を講じたことを発表した経緯がありますが、その後も新たなモジュールを搭載したTrickBotが確認されるなど活動は依然として継続していて、いたちごっこの状態です。BleepigComputerによると、Emotetの活動再開の背景には高度なランサムウェアの担い手たちの存在があるようです。
Contiランサムウェアが活発化する恐れ
EmotetがTrickBotをダウンロードし、TrickBotがランサムウェアを配信することでランサムウェアは高度なテクニックのない犯罪者も参入できるビジネス化されたサイバー犯罪として広がってきた経緯があります。BleepigComputer の記事によると、これはサイバーセキュリティ企業のAdvIntelの研究者の見解にもとづいているようですが、今年になってDarksideやRevilなどのランサムウェアが相次ぎRaaS(サービスとしてのランサムウェア)をやめた背景にEmotetがテイクダウンされたことがあるということです。つまり、Emotetインフラがなくなったことで、テクニックのないサイバー犯罪者がランサムウェアを使って周到な攻撃をすることが難しくなりサービス化できなくなったということのようです。一方で従来のテクニックのある犯罪グループの力が強くなり、今回のEmotetの再開の背景にはそうした高度なランサムウェアを担うグループであるConti(Ryuk)の存在があるということです。
BleepigComputerの記事によると、ContiはTrickBotと提携しているということですので、新たなEmotetのボットがTrickBotのインフラを使って形成されたことも関係があるのかもしれません。つまり新たなEmotetのボットはランサムウェアContiの攻撃のために構築されている可能性があり、今後、Emotetのボットが成長した場合、Contiランサムウェアによる攻撃が急増する可能性があるということです。
■出典
https://www.ipa.go.jp/security/announce/20191202.html#L16
https://www.advintel.io/post/corporate-loader-emotet-history-of-x-project-return-for-ransomware