Emotet to zaawansowany, samorozprzestrzeniający się modułowy trojan, który wykorzystuje wiele technik utrudniających wykrycie przez systemy bezpieczeństwa sieci. Od jego powrotu w listopadzie zeszłego roku umacnia swoją pozycję najbardziej rozpowszechnionego szkodliwego oprogramowania. Wg badaczy z Check Point Software, w ostatnim miesiącu botnet rozpowszechniał liczne agresywne kampanie e-mailowe, w tym oszustwa phishingowe o tematyce wielkanocnej. E-maile z dołączonym złośliwym plikiem XLS, pobierającym na komputery botnet Emotet, były wysłane do ofiar niemal na całym świecie.

E-mail z kampanii phishingowej Buona Pasqua, wykorzystujący motyw Świąt Wielkanocnych

W marcu Emotet zaatakował co dziesiątą sieć w skali globalnej, natomiast w Polsce wykryty został w około 6,4% sieci firmowych. Drugim najpopularniejszą rodziną malware’u jest Agent Tesla, zaawansowany RAT działający jako keylogger i złodziej informacji. Wysoka pozycja Agent Tesla wynika z kilku nowych kampanii spamowych, dostarczających RAT za pośrednictwem złośliwych plików xlsx /pdf. Niektóre z tych kampanii wykorzystały wojnę rosyjsko-ukraińską, by zwabić ofiary. Agent Tesla wykryty został w niemal 2,5% organizacji na świecie i około 3% w Polsce. Trzecim najpopularniejszym malwarem na świecie (2%) jest XMRig, wykorzystujący moce obliczeniowe komputerów do wykopywania kryptowaluty Monero. W Polsce popularniejsze okazało się wielofunkcyjn Tofsee (1,5%), potrafiące kopać bitcoiny, wysyłać e-maile czy kraść dane dostępowe.

- W ostatnich latach technologia rozwinęła się do takiego stopnia, że cyberprzestępcy coraz częściej muszą wykorzystywać nieuwagę i zaufanie użytkowników, aby dostać się do sieci korporacyjnych. Wysyłając e-maile phishingowe, np. z motywem wielkanocnym, są w stanie wykorzystać świąteczne zamieszanie i nakłonić ofiary do pobrania złośliwych załączników zawierających szkodliwe oprogramowanie, takie jak Emotet. W okresie poprzedzającym weekend wielkanocny spodziewamy się większej liczby podobnych oszustw i zachęcamy użytkowników do zwrócenia szczególnej uwagi, nawet jeśli e-mail wygląda, jakby pochodził z renomowanego źródła — ostrzega Maya Horowitz, wiceprezes ds. badań w Check Point Software.

Według analiz Check Point Research w marcu najczęściej atakowanym był sektor edukacji i badań. Za nim plasowały się sektory rządowo-wojskowe oraz dostawcy usług internetowych i zarządzanych (ISP/MSP). Najczęściej wykorzystywaną luką jest nadal „Apache Log4j Remote Code Execution”, która ma wpływ na jedną trzecią organizacji na świecie.