This post is also available in: Português Español
La botnet Emotet está de regreso, bajo el comando de su anterior operador, que fue convencido a reactivarse por miembros del grupo de ransomware Conti.
Los investigadores de seguridad de la empresa de inteligencia Advanced Intelligence (AdvIntel) creen que el reinicio del proyecto fue impulsado debido al vació que el mismo Emotet dejó en el mercado, después de dejar de operar hace 10 meses.
El renacimiento de botnet se da en un momento donde los ataques ransomware llegan a altos números de víctimas por todo el mundo.
El ransomware Conti podría llegar al dominio
Considerado como el malware más distribuido, el Emotet actuaba como un malware que le daba a otros operadores de malwares acceso inicial a los sistemas infectados.
Qbot y Trickbot, en particular, eran los principales clientes de Emotet y usaban su acceso para implementar ransomware (por ejemplo, Ryuk, Conti, ProLock, Egregor, DoppelPaymer y otros).
Según AdvIntel, la agilidad estratégica, operacional y táctica de Emotet fue ejecutada por medio de un sistema modular, permitiéndoles personalizar la función de carga útil y especialización para las necesidades de clientes específicos.
Los operadores de botnet hicieron una entrada inicial a escala industrial, por lo tanto, muchas operaciones de malware dependían de Emotet para atacar, especialmente aquellos del trío llamado Emotet-TrickBot-Ryuk.
Ryuk es el antecesor de Conti ransomware. El cambio ocurrió en 2020, cuando las actividades de Conti comenzaron a aumentar y Las detecciones de Ryuk disminuyeron. Los operadores de ambas variantes de ransomware tienen una larga historia de ataques que abarcan organizaciones incluso sectores salud y educación.
Según los investigadores, una vez que Emotet desapareció de la escena, grupos cibercriminales de primera línea, como Conti (cargado por TrickBot y BazarLoader) y DoppelPaymer (cargado por Dridex) se quedaron sin una opción viable de acceso inicial de alta calidad a las víctimas.
Esta discrepancia entre la oferta y la demanda hace importante el resurgimiento de Emotet. A medida que el botnet regresa, puede impactar fuertemente todo el ambiente de seguridad, combinado a la laguna fundamental de los grupos de ransomware, dice AdvIntel.
Se sigue creyendo que la razón que contribuyó al cierre de varias operaciones de ransomware-as-a-service (RaaS) de este año (Babuk, DarkSide, BlackMatter, REvil, Avaddon) era que los afiliados utilizaban el acceso de bajo nivel (RDP, VPN vulnerable, spam de baja calidad).
Con la competencia dejando la rama de ransomware, los “grupos tradicionales” como Conti (anteriormente Ryuk) y EvilCorp subieron el escalón una vez más, atrayendo “los especialistas en malware talentosos”.
El grupo Conti, con cor lo menos un exmiembro de Ryuk a bordo y en alianza con el mayor cliente de Emotet, TrickBot, estaba en la mejor posición para pedir un retorno a los operadores del Emotet.
Los investigadores de AdvIntel confían que el grupo Conti entregará su carga útil a objetivos de alto valor a través de vía Emotet en cuanto el botnet crezca, y se haga un player dominante en el escenario ransomware.
Dado que las asociaciones generan los mejores resultados, como ha demostrado la alianza Emotet-TrickBot-Ryuk en 2019 y 2020, un nuevo trío podría superar pronto las demás operaciones, con el ransomware Conti como carga útil definitiva.
Fonte: AdvIntel.
This post is also available in: Português Español