# Emotet
> [!danger] Loader Historico
> Emotet foi classificado pelo CISA como **uma das ameaças mais custosas e destrutivas** para organizacoes governamentais e privadas globalmente. Operou como Malware-as-a-Service de 2014 a 2021, responsavel por entregar [[s0266-trickbot|TrickBot]] que por sua vez depositava ransomware [[s0446-ryuk|Ryuk]] e [[conti|Conti]]. Estimativas de danos superam **1 bilhao de dólares globalmente**. Derrubado em janeiro de 2021, ressurgiu em novembro de 2021 e permanece intermitentemente ativo.
## Visão Geral
[[s0367-emotet|Emotet]] (também rastreado como Geodo e operado pelo grupo [[g0102-conti-group|Wizard Spider]] / TA542) emergiu em junho de 2014 como um banking trojan simples mirando o setor financeiro. Ao longo dos anos seguintes, evoluiu para uma **plataforma modular de distribuição de malware como servico (MaaS)**, alugando acesso a outros grupos criminosos para entregar payloads de segundo estagio.
Sua arquitetura polimorfica e a técnica de **thread hijacking de e-mails** - o sequestro de conversas reais para enviar replies maliciosos aparentemente legitimos - tornaram o Emotet excepcionalmente eficaz na burla de defesas corporativas. A cadeia Emotet > TrickBot > Ryuk causou dezenas de incidentes de ransomware catastroficos, incluindo um ataque ao Universal Health Services com **67 milhões de dólares em prejuizos**.
Em janeiro de 2021, uma operação policial coordenada internacionalmente (Europol/Eurojust, com participacao de 8 paises) derrubou a infraestrutura do Emotet e utilizou o proprio mecanismo de atualização da botnet para remover o malware de sistemas infectados. A rede de 1,6 milhões de maquinas comprometidas foi destruida. Contudo, em novembro de 2021, o Emotet ressurgiu com novas técnicas de evasão, atingindo ~130.000 bots em 2022 e triplicando as infeccoes entre fevereiro e marco de 2022.
| Campo | Detalhe |
|-------|---------|
| **Tipo** | Loader / Botnet MaaS |
| **Linguagem** | C++ |
| **Primeira observacao** | Junho 2014 |
| **Derrubada** | Janeiro 2021 |
| **Ressurgimento** | Novembro 2021 |
| **MITRE ID** | S0367 |
| **Grupos** | Wizard Spider (TA542) |
## Como Funciona
**Estagio 1 - Thread Hijacking (entrega):** O Emotet nao envia e-mails aleatorios. Ele rouba conversas reais da caixa de entrada da vitima infectada e envia replies que continuam os topicos originais, imitando o remetente real. O destinatario recebe uma resposta de um contato conhecido sobre um assunto familiar - taxa de abertura dramaticamente maior. O anexo e um documento Word/Excel com macro VBA ou, em versoes recentes, arquivo ZIP protegido por senha.
**Estagio 2 - Execução da macro:** A macro VBA executa um comando PowerShell que baixa o payload Emotet. Variantes pos-2021 usam Excel 4.0 macros (XLM) para evadir deteccoes voltadas para VBA. O payload e carregado via `regsvr32.exe` (T1218.010) ou como servico Windows.
**Estagio 3 - Instalacao e C2 hierarquico:** O Emotet estabelece comunicação C2 cifrada (AES simetrico). A infraestrutura e hierarquica: bots de nivel 1 (L1) servem como proxies para isolar os servidores de comando centrais. O trafego ocorre em portas nao-padrao (T1571), tornando o bloqueio por porta ineficaz.
**Estagio 4 - Módulos:** O Emotet recebe e instala módulos do C2:
- **Módulo de spam**: Coleta contatos e conteudo de e-mails para alimentar novos ataques de thread hijacking.
- **Módulo de propagação**: Tenta forca bruta em compartilhamentos SMB (T1110.001) com listas de senhas comuns e credenciais roubadas de contas locais (T1078.003).
- **Dropper de segundo estagio**: Baixa e executa [[s0266-trickbot|TrickBot]] ou [[s0483-icedid|IcedID]] na maquina comprometida.
**Estagio 5 - Cadeia ransomware:** TrickBot realiza reconhecimento, movimento lateral e acumula privilegios de dominio. Compartilha acesso com operadores de ransomware ([[s0446-ryuk|Ryuk]], [[conti|Conti]]) para deployment manual da carga final.
## Attack Flow
```mermaid
graph TB
A["📧 Thread Hijacking<br/>Reply a conversa real<br/>Contato conhecido + topico familiar"] --> B["📎 Macro VBA / XLM<br/>Documento Office malicioso<br/>ZIP protegido por senha"]
B --> C["🔧 Emotet DLL<br/>Regsvr32 / Servico Windows<br/>T1218.010"]
C --> D["📡 C2 Hierarquico<br/>Bots L1 como proxy<br/>Porta nao-padrao T1571"]
D --> E["📧 Módulo Spam<br/>Coleta contatos e threads<br/>Autopropagação via email"]
D --> F["🔄 Forca Bruta SMB<br/>Credenciais locais / senhas comuns<br/>Movimento lateral T1021.002"]
D --> G["💣 Dropper 2o Estagio<br/>TrickBot / IcedID<br/>Prep para ransomware"]
G --> H["💀 Ransomware<br/>Ryuk / Conti<br/>Criptografia e extorcao"]
classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff
classDef exec fill:#e67e22,stroke:#d35400,color:#fff
classDef c2 fill:#2980b9,stroke:#1a5276,color:#fff
classDef module fill:#27ae60,stroke:#1e8449,color:#fff
classDef impact fill:#8e44ad,stroke:#7d3c98,color:#fff
class A,B delivery
class C exec
class D c2
class E,F,G module
class H impact
```
## Timeline de Evolução
```mermaid
timeline
title Emotet - Evolução 2014-2025
2014 : Surgimento como banking trojan
: Foco inicial no setor financeiro
2016 : Transicao para loader MaaS
: Parceria com TrickBot
2018 : CISA emite alerta sobre Emotet
: Pico de atividade global
2019 : Thread hijacking como técnica principal
: Campanhas massivas em Portugal e Brasil
2021 : Derrubada coordenada Europol/Eurojust
: 1,6 mi de bots removidos em janeiro
2021 : Ressurgimento em novembro
: Adocao de Excel 4.0 macros e ZIP com senha
2022 : 130 mil bots em ján - crescimento rapido
: Infeccoes triplicam em marco vs fevereiro
2024 : Refinamento de phishing e engenharia social
: Parceria com IcedID e novos loaders
2025 : Atividade intermitente
: Hub de distribuição para campanhas diversas
```
## TTPs Mapeados
| Tática | Técnica | Uso Específico |
|--------|---------|---------------|
| Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office com macro em threads hijackadas |
| Acesso Inicial | [[t1566-002-spearphishing-link\|T1566.002]] | Links para download de documento malicioso |
| Execução | [[t1204-002-malicious-file\|T1204.002]] | Vitima abre documento e habilita macro |
| Execução | [[t1218-010-regsvr32\|T1218.010]] | DLL Emotet carregada via regsvr32 |
| Execução | [[t1047-windows-management-instrumentation\|T1047]] | WMI para execução de tarefas |
| Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Chave de registro para persistência |
| Evasão | [[t1027-001-binary-padding\|T1027.001]] | Padding binario para alterar hash e evadir assinaturas |
| Evasão | [[t1134-001-token-impersonationtheft\|T1134.001]] | Token impersonation para escalada |
| Movimento Lateral | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | Propagação via compartilhamentos SMB admin |
| Acesso a Credenciais | [[t1110-001-password-guessing\|T1110.001]] | Forca bruta em credenciais SMB |
| Acesso a Credenciais | [[t1552-001-credentials-in-files\|T1552.001]] | Coleta de credenciais armazenadas em arquivos |
| Acesso a Credenciais | [[t1078-003-local-accounts\|T1078.003]] | Uso de credenciais de contas locais |
| C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | Comúnicação C2 cifrada com AES |
| C2 | [[t1571-non-standard-port\|T1571]] | C2 em portas nao-padrao |
| Descoberta | [[t1033-system-owneruser-discovery\|T1033]] | Enumeracao de usuario e sistema |
| Coleta | [[t1570-lateral-tool-transfer\|T1570]] | Transferencia de ferramentas entre sistemas |
## Relevância LATAM/Brasil
O Emotet foi uma das ameaças mais prevalentes no Brasil durante seus picos de atividade (2018-2021). Campanhas de phishing em **portugues brasileiro** com temas de notas fiscais, declaracoes da Receita Federal e comúnicados bancarios foram amplamente documentadas. O [[cert-br|CERT.br]] registrou múltiplas ondas de infecção por Emotet no Brasil com foco em PMEs e orgaos governamentais.
A cadeia Emotet > [[s0266-trickbot|TrickBot]] > [[s0446-ryuk|Ryuk]] foi responsavel por incidentes de ransomware em hospitais, municipios e empresas do setor energetico brasileiro entre 2020 e 2021. O ressurgimento do Emotet em 2021 e sua atividade intermitente em 2024-2025 mantem o Brasil na lista de alvos prioritarios, dado o alto volume de phishing em lingua portuguesa que usa as TTPs do grupo Wizard Spider.
> [!warning] Setores Alvo
> - **[[financial|Financeiro]]**: Alvo historico desde 2014, com módulo de roubo de credenciais bancarias
> - **[[government|Governo]]**: Municipios e orgaos federais brasileiros afetados em múltiplas ondas 2019-2021
> - **[[healthcare|Saúde]]**: Hospitais foram alvos prioritarios para deposito de Ryuk ransomware
> - **[[technology|Tecnologia]]**: PMEs de TI como ponto de entrada para redes corporativas maiores
## Detecção e Defesa
**Event IDs prioritarios:**
- **Windows Event ID 4688 (Process Creation):** `regsvr32.exe` com argumento de DLL em diretorio temporario ou de usuario; PowerShell com URL de download.
- **Sysmon Event ID 1:** Macro habilitando PowerShell a partir de processo Office (`WINWORD.EXE`, `EXCEL.EXE`).
- **Sysmon Event ID 3 (NetworkConnect):** Conexoes em portas nao-padrao (>1024) de processos sistema; padroes de beaconing para múltiplos IPs em sequencia (infraestrutura L1).
- **Windows Event ID 4625 (Failed Logon):** Multiplos eventos de falha de autenticação em SMB - forca bruta do módulo de propagação.
- **Sysmon Event ID 11 (FileCreaté):** Criação de `.doc`/`.xls` em pasta de downloads com macro presente.
**Regras de detecção:**
- Sigma: `proc_creation_win_office_macro_execution.yml` - macro iniciando processo filho.
- Sigma: `net_connection_win_regsvr32_network.yml` - regsvr32 realizando conexão de rede.
- Sigma: `win_emotet_loader_netconn.yml` - padroes de beaconing C2 do Emotet.
- Clustering de e-mails: Anexos com nomes identicos distribuidos para múltiplos destinatarios em curto intervalo - padrao de campanha de thread hijacking.
**Mitigacoes:**
- Desabilitar macros VBA para documentos de Internet (via GPO: `Trust access to the VBA project object model`).
- Implementar regras DMARC/DKIM/SPF rigorosas para reduzir eficacia de spoofing em thread hijacking.
- Bloquear execução de `regsvr32.exe` com arquivos DLL remotos via AppLocker.
- Segmentar compartilhamentos SMB e monitorar acessos anonimos a `ADMIN
e `IPC
.
## Referências
- [1](https://attack.mitre.org/software/S0367) MITRE ATT&CK S0367
- [2](https://unit42.paloaltonetworks.com/emotet-thread-hijacking/) Palo Alto Unit 42 - Emotet Thread Hijacking Analysis
- [3](https://www.cybereason.com/blog/research/one-two-punch-emotet-trickbot-and-ryuk-steal-then-ransom-data) Cybereason - Emotet + TrickBot + Ryuk
- [4](https://www.intel471.com/blog/understanding-the-relationship-between-emotet-ryuk-and-trickbot) Intel471 - Relacao Emotet/Ryuk/TrickBot
- [5](https://www.forescout.com/blog/emotet-the-return-of-the-worlds-most-dangerous-malware/) Forescout - Ressurgimento Emotet 2022
- [6](https://www.radware.com/cyberpedia/bot-management/emotet-anatomy-examples-and-defense/) Radware - Anatomy of Emotet 2024
- [7](https://www.picussecurity.com/resource/blog/emotet-technical-analysis-part-1-reveal-the-evil-code) Picus Security - Análise técnica do Emotet