Emotet ha sido considerado uno de los malwares más extendido en el pasado, utilizando campañas de spam y archivos adjuntos maliciosos para distribuir el malware. Emotet utilizaba entonces los dispositivos infectados para realizar otras campañas de spam e instalar otros payloads de otros grupos de malwares, como han sido QakBot (Qbot) y Trickbot, principalmente. Estos Payloads se utilizarían después para proporcionar el acceso inicial a los actores de la amenazas para el despliegue de ransomwares, incluyendo Ryuk, Conti, ProLock, Egregor y muchos otros más.
A principios de año, se llevo a cabo un operativo policial internacional coordinada por Europol y Eurojust, el cual a logrado tener bajo custodia la infraestructura de Emotet y se logró detener a dos personas, sospechosas de ser parte del equipo de esta Botnet. Las fuerzas del orden alemanas utilizaron la infraestructura para entregar un módulo de Emotet que permitió la desinstalación el malware de los dispositivos infectados el 25 de abril de 2021.
El día 15 de noviembre, los investigadores de Cryptolaemus, GData y Advanced Intel han comenzado a dar alertas y avisos a sus comunidades de que el malware TrickBot ha estado implementando el payload de Emotet en los dispositivos infectados, confirmando de esta manera que una de redes redes de botnets más grandes del mundo esta de regreso, lamentablemente hablando.
This is our 3rd anniversary of Cryptolaemus1. Thanks for all the follows and sharing of intel these past 3 years! To celebrate, Ivan has released a new version of Emotet because he feels left out and wants to be part of the party. More details coming soon. As always watch URLHaus pic.twitter.com/Qwvel32ibB
— Cryptolaemus (@Cryptolaemus1) November 15, 2021
La organización de rastreo de malwares Abuse.ch ha publicado una lista de servidores C2 utilizados por la nueva red de Emotet y sugiere encarecidamente a los administradores de red que bloqueen las direcciones IP asociadas.
Fresh, active Emotet botnet C2 servers are now being pushed to Feodo Tracker 💪🛡️
— abuse.ch (@abuse_ch) November 15, 2021
👉 https://t.co/TvIJyqHYVs
We urge you to *BLOCK* these C2 servers and regularly update your block list to receive the maximum protection!
👉 https://t.co/if21bBHTpo pic.twitter.com/sdySouHxxb
Desgraciadamente, la nueva infraestructura de Emotet está creciendo rápidamente, con más de 246 dispositivos infectados que ya actúan como servidores C2.
Se recomienda encarecidamente a los administradores de redes que bloqueen todas las direcciones IP asociadas para evitar que sus dispositivos sean usados por la recién reformada red de Emotet.
IOCs – Emotet
1.234.21.73
100.1.119.41
102.65.38.57
103.109.247.13
103.109.247.8
103.109.247.9
103.116.178.85
103.127.67.38
103.140.207.110
103.142.10.177
103.161.172.108
103.164.180.66
103.233.25.228
103.238.203.82
103.253.107.153
103.253.107.155
103.253.107.156
103.253.107.198
103.30.247.116
103.52.135.61
103.73.102.174
103.74.143.53
103.8.26.102
103.8.26.103
103.80.54.34
103.82.248.59
103.87.173.60
103.94.0.178
104.130.140.69
104.248.178.90
105.198.236.99
107.170.64.97
108.4.67.252
108.55.14.158
109.177.77.68
111.230.104.169
111.235.66.83
114.79.130.68
116.203.55.59
116.206.153.212
116.90.234.82
117.248.109.38
121.199.35.69
122.117.90.133
124.41.211.17
125.234.128.250
128.199.192.135
128.199.206.91
128.199.232.159
128.201.76.252
131.100.24.199
134.209.182.12
136.143.11.232
136.228.128.21
136.228.129.179
136.232.34.70
137.74.112.43
138.197.109.175
139.255.199.196
139.59.59.242
142.44.247.57
144.76.1.150
144.76.42.74
146.66.139.84
148.235.154.164
148.251.238.52
153.126.165.175
158.69.118.130
159.224.167.102
159.65.3.147
162.214.106.107
162.214.127.16
162.214.188.105
163.172.50.82
167.172.119.42
168.197.250.14
170.238.117.187
171.235.33.211
173.21.10.71
173.249.28.143
176.100.4.31
176.28.17.160
177.138.142.97
177.37.161.136
177.72.80.14
177.75.5.222
177.86.90.105
177.87.0.7
178.128.197.110
178.128.23.9
178.128.83.165
178.238.236.59
178.254.33.197
178.33.123.234
178.33.13.40
178.62.205.130
178.79.147.66
178.79.150.86
18.195.23.231
181.112.49.170
181.129.167.82
181.143.251.154
181.188.180.243
181.189.221.250
181.211.247.43
182.253.106.35
182.253.210.130
185.148.168.220
185.148.168.25
185.164.32.148
185.168.130.138
185.30.32.33
185.56.219.47
185.94.172.15
186.250.48.123
186.4.193.75
187.121.88.3
188.27.119.243
188.40.100.254
188.93.125.116
189.147.225.12
190.145.83.98
190.183.237.119
190.197.55.254
190.61.46.106
190.73.3.148
192.99.150.39
194.1.193.11
196.44.98.190
198.199.98.78
198.61.167.176
200.201.185.194
200.83.98.31
201.148.20.37
201.172.31.95
202.144.203.140
202.51.122.163
203.173.94.162
204.174.223.210
207.148.81.119
207.154.208.93
207.180.220.242
209.210.95.228
210.57.217.132
211.172.241.52
212.112.86.37
212.175.98.171
212.237.17.99
213.136.86.165
213.190.4.223
216.10.251.121
216.108.227.55
216.177.161.118
216.238.71.31
217.17.56.163
217.79.184.243
220.255.25.187
23.160.193.106
24.162.214.166
24.229.150.54
24.32.202.68
24.55.112.61
27.5.5.31
36.37.99.242
36.66.188.251
36.67.97.127
36.89.98.183
36.91.36.29
36.92.59.93
36.95.110.19
37.187.115.122
37.247.35.130
37.59.103.148
41.228.22.180
43.225.69.20
43.229.206.212
43.229.206.214
43.229.206.244
43.252.158.104
45.184.36.10
45.201.134.202
45.33.20.41
45.33.33.91
45.56.121.87
45.79.33.48
45.79.91.89
45.9.20.200
45.90.108.123
46.101.182.168
46.101.90.205
46.99.175.217
5.182.210.132
5.199.162.48
5.34.74.210
5.39.99.208
5.9.14.91
50.116.23.195
50.116.62.25
50.194.160.233
51.178.161.32
51.254.140.238
51.68.175.8
51.77.82.110
51.83.3.52
51.91.76.89
52.73.70.149
54.191.98.150
54.37.106.167
54.37.202.209
54.37.84.240
54.38.143.246
54.39.98.141
61.19.116.53
62.64.9.237
66.175.217.172
66.42.55.5
69.64.50.41
74.63.218.139
75.176.235.182
76.25.142.196
77.232.163.203
77.57.204.78
79.143.186.143
80.211.40.191
80.6.192.58
81.0.236.93
81.250.153.227
85.88.174.94
86.8.177.143
87.97.178.92
89.101.97.139
89.107.190.111
91.121.134.180
91.178.126.51
91.207.28.33
91.234.132.24
91.235.129.8
91.243.125.5
91.83.88.122
92.38.128.47
93.188.167.97
94.177.248.64
94.28.78.200
95.110.160.239
95.178.38.68
97.107.134.115
IOCs – Trickbot
14.102.188.227
24.28.12.23
27.131.54.3
31.14.40.207
36.37.99.242
36.37.225.100
36.89.105.119
36.89.228.201
36.91.36.29
36.91.117.231
36.95.110.19
36.95.141.29
41.57.156.203
43.242.242.145
45.11.183.152
45.116.106.45
45.121.237.196
45.248.41.211
49.248.217.170
58.97.72.83
58.97.192.6
59.93.105.113
59.152.104.174
60.246.197.7
65.155.32.251
71.78.110.58
78.130.246.39
82.165.49.187
87.106.77.55
96.9.77.56
103.36.126.221
103.61.100.10
103.94.0.178
103.127.67.38
109.125.139.206
110.172.137.20
113.160.37.196
113.163.222.218
116.206.153.212
116.212.142.22
116.212.152.201
117.196.236.164
117.220.229.162
118.179.191.66
122.50.6.122
122.117.90.133
136.228.128.21
136.228.128.81
136.228.131.236
139.255.65.170
139.255.199.196
144.48.139.206
151.106.48.226
154.79.244.182
154.79.251.172
175.143.63.49
176.100.4.31
177.67.137.111
178.134.47.166
185.9.187.10
186.97.172.178
186.225.119.170
187.19.167.233
190.93.208.53
194.190.18.122
196.216.59.174
200.236.218.62
202.65.119.162
202.165.47.106
202.166.198.18
203.176.138.102
209.33.231.203
222.124.16.74

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.