Emotet-malware bevat unieke infrastructuur om down-time te voorkomen

De malware-gang Emotet heeft volgens beveiligingsbedrijf Trend Micro de backbone-infrastructuur van zijn server expres ontworpen in twee aparte clusters.

Onderzoekers analyseerden 571 monsters van malware van de groep. Daar konden ze de IP-adressen van 721 Emotet command-and-control (C&C) servers uit halen, evenals zes RSA-encryptiesleutels die de malware had gebruikt om de communicatie tussen getroffen computers en C&C-servers te versleutelen.

Toen de relatie tussen de RSA-sleutels en de bijbehorende C&C-servers werd gevisualiseerd, werd duidelijk dat er twee aparte clusters waren die niet met elkaar communiceren. Dit is vreemd, omdat de meeste malware-infrastructuren bestaan uit een grote groep verbonden servers.

In eerste instantie dachten de onderzoekers dat de twee clusters gemaakt werden voor verschillende doeleinden, of dat ze door andere operators werden gebruikt. Trend Micro vond echter geen grote verschillen tussen de IoC’s onder deze twee groepen.

Zo zeggen de onderzoekers dat ze zagen hoe een cluster een versie van Emotet of andere malware zagen pushen, en de volgende dag zagen dat de andere cluster exact dezelfde monsters verstuurde. Dat toonde aan dat dezelfde groep malware-ontwikkelaars beide clusters beheerden.

Redenen

De onderzoekers denken dat de groepering de C&C-serverinfrastructuur in twee delen hebben opgezet wegens diverse redenen en voordelen. De infrastructuur maakt het bijvoorbeeld moeilijker voor beveiligingsbedrijven om Emotet-infecties te volgen. Mocht er een technische fout voorkomen, dan blijft de andere cluster bovendien online en de malware-campagne actief.

Als derde voordeel is het voor autoriteiten moeilijker om de campagne offline te halen, aangezien de autoriteiten en beveiligingsbedrijven de aanvallen tegen beide clusters uit moeten voeren.

De onderzoekers ontdekten verder dat de “schrijver van de Emotet-malware mogelijk in de UTC+10 tijdszone leeft, of nog verder naar het oosten”. In die tijdzone zitten onder meer Noord-Azië, waaronder een deel van Rusland, Antarctica, en Oceanië (onder meer Australië). De malware-operatie van Emotet is een van de grootste actieve malware-dreigingen van 2018. Eerder was het een banking trojan.