This post is also available in: Português Español
O botnet Emotet está de volta, sob comando do seu ex-operador, que foi convencido a voltar à ativa por membros do grupo de ransomware Conti.
Os pesquisadores de segurança da empresa de inteligência Advanced Intelligence (AdvIntel) acreditam que o reinício do projeto foi impulsionado pelo vazio que a própria Emotet deixou no mercado, após a parada dos serviços, dada há dez meses.
O renascimento do botnet se dá em um momento onde os ataques ransomware atingem números altíssimos de vítimas em todo o mundo.
Conti ransomware pode chegar ao domínio
Considerado o malware mais amplamente distribuído, o Emotet agia como um malware que fornecia a outros operadores de malwares acesso inicial aos sistemas infectados.
Qbot e Trickbot, em particular, eram os principais clientes da Emotet e usavam seu acesso para implantar ransomware (por exemplo, Ryuk, Conti, ProLock, Egregor, DoppelPaymer e outros).
Segundo a AdvIntel, a agilidade estratégica, operacional e tática da Emotet foi executada por meio de um sistema modular, permitindo-lhes personalizar a funcionalidade de carga útil e especialização para as necessidades de clientes específicos.
Os operadores de botnet forneceram acesso inicial em escala industrial, portanto, muitas operações de malware dependiam do Emotet para seus ataques, especialmente aqueles na chamada tríade Emotet-TrickBot-Ryuk.
O Ryuk é o predecessor do Conti ransomware. A mudança ocorreu em 2020, quando a atividade de Conti começou a aumentar e as detecções de Ryuk diminuíram. Os operadores de ambas as variantes de ransomware têm uma longa história de ataques que atingem organizações nos setores de saúde e educação.
Segundo os pesquisadores, uma vez que o Emotet desapareceu de cena, grupos cibercriminosos de primeira linha, como Conti (carregado por TrickBot e BazarLoader) e DoppelPaymer (carregado por Dridex) ficaram sem uma opção viável para acesso inicial de alta qualidade às vítimas.
Essa discrepância entre a oferta e a demanda torna o ressurgimento da Emotet importante. Conforme esse botnet retorna, ele pode impactar fortemente todo o ambiente de segurança, combinado a lacuna fundamental dos grupos de ransomware, diz a AdvIntel.
Eles ainda acreditam que o motivo que contribuiu para o fechamento de várias operações de ransomware-as-a-service (RaaS) neste ano (Babuk, DarkSide, BlackMatter, REvil, Avaddon) foi que as afiliadas usaram acesso de baixo nível (RDP, VPN vulnerável, spam de baixa qualidade).
Com os concorrentes deixando o negócio de ransomware, os “grupos tradicionais” como Conti (anteriormente Ryuk) e EvilCorp subiram a escada mais uma vez, atraindo “os especialistas em malware talentosos”.
O grupo Conti, com pelo menos um ex-membro da Ryuk a bordo e em parceria com o maior cliente da Emotet, TrickBot, estava na melhor posição para pedir um retorno às operadoras da Emotet.
Os pesquisadores da AdvIntel estão confiantes de que o grupo Conti entregará sua carga útil a alvos de alto valor via Emotet assim que o botnet crescer, se tornará um jogador dominante no cenário do ransomware.
Uma vez que as parcerias geram os melhores resultados, conforme mostrado pela aliança Emotet-TrickBot-Ryuk em 2019 e 2020, uma nova tríade pode em breve superar outras operações, com o Conti ransomware como a carga útil final.
Fonte: AdvIntel.
This post is also available in: Português Español
