Один из наиболее опасных ботнетов Emotet вернулся к жизни после четырёх месяцев бездействия. В течение данного периода времени C&C-серверы были отключены, и Emotet перестал рассылать команды ботам и рассылать спам для заражения новых жертв.
Новые рассылки от Emotet обнаружил исследователь Раашид Бхат из SpamHaus. Имейлы содержали вредоносные файлы и ссылки на вредоносные загрузки. Жертвами стали польско- и немецкоговорящие пользователи. Оказавшись на системе, Emotet загружает модули, которые извлекают пароли из локальных приложений, распространяют вредонос на другие компьютеры в той же сети и крадут цепочки электронных писем для последующего повторного использования в спам-кампаниях.
По словам исследователя, операторы Emotet также предоставляют услугу Malware-as-a-Service (MaaS), благодаря которой другие кибергруппировки могут арендовать доступ к компьютерам, зараженным Emotet, и загружать собственные вредоносные программы. Одними из наиболее известных клиентов Emotet являются операторы программ-вымогателей Bitpaymer и Ryuk.
Пробуждение серверов ботнета было зафиксировано еще в конце августа, но тогда злоумышленники не предпринимали попыток распространять вредоносы. Бхат предполагает, что операторы Emotet провели последние несколько недель за восстановлением связи с ранее зараженными ботами и распространяли вредоносы по локальным сетям для увеличения размера ботнета перед началом кампании.
