Mientras monitoreaban la actividad actual de la botnet Emotet, los investigadores de seguridad descubrieron que las pandillas de ransomware Quantum y BlackCat ahora están usando el malware para implementar sus cargas útiles.
Este es un desarrollo interesante dado que el sindicato de delitos cibernéticos Conti fue el que usó previamente la red de bots antes de cerrar en junio.
El grupo Conti fue quien orquestó su regreso en noviembre después de que una acción policial internacional derribara la infraestructura de Emotet a principios de 2021.
“La red de bots Emotet (también conocida como SpmTools) ha alimentado a los principales grupos de ciberdelincuentes como vector de ataque inicial, o precursor, de numerosos ataques en curso”, dijeron los investigadores de seguridad de la empresa de inteligencia AdvIntel .
“Desde noviembre de 2021 hasta la disolución de Conti en junio de 2022, Emotet fue una herramienta exclusiva de ransomware de Conti; sin embargo, la cadena de infección de Emotet se atribuye actualmente a Quantum y BlackCat”.
La botnet ahora se está utilizando para instalar una baliza Cobalt Strike en los sistemas infectados como una carga útil de segunda etapa, según AdvIntel, lo que permite a los atacantes moverse lateralmente e implementar cargas útiles de ransomware en la red de la víctima.
Esto coincide con el flujo de ataque de Conti que incluía a Emotet después de su reactivación, menos el vector de acceso inicial a través de la botnet TrickBot.
AdvIntel dice que Emotet ha causado bastante daño desde principios de año, ya que ha rastreado más de 1 200 000 sistemas infectados por Emotet en todo el mundo, con un pico de actividad entre febrero y marzo.
La evaluación de AdvIntel fue confirmada en junio por ESET, quien dijo que detectó un aumento masivo en la actividad de Emotet desde principios de año, “creciendo más de 100 veces frente a T3 2021”.
Agari también reveló en agosto que la botnet experimentó un aumento significativo en el segundo trimestre, reemplazando a QBot en las campañas de phishing, y en conjunto representa más del 90% de todo el malware que llegó a las bandejas de entrada de sus clientes.
El malware Emotet se implementó por primera vez en ataques como un troyano bancario en 2014 y se ha convertido en un botnet utilizado por el grupo de amenazas TA542 (también conocido como Mummy Spider ) para robar datos, realizar reconocimientos y moverse lateralmente a través de las redes de las víctimas, así como para entregar cargas maliciosas de segunda etapa.
Desde junio, la red de bots se actualizó para infectar a las posibles víctimas con un módulo de robo de tarjetas de crédito que intentará recopilar la información de las tarjetas de crédito almacenada en los perfiles de usuario de Google Chrome.
Este cambio se produjo después de una mayor actividad durante abril y un cambio a módulos de 64 bits , como detectó el grupo de investigación de seguridad Cryptolaemus .
Emotet (al igual que Qbot e IcedID ) también ha cambiado a archivos de acceso directo de Windows (.LNK) desde el uso de macros de Microsoft Office ( ahora deshabilitadas de forma predeterminada ) como un vector de ataque para infectar los dispositivos de los objetivos.
Afortunadamente, las campañas de Emotet no están muy activas, si es que lo están, en este momento, y la mayoría de las campañas de phishing de malware giran en torno a Qbot e IcedID.
Sin embargo, eso podría cambiar rápidamente y dar lugar a una rápida implementación de ataques de ransomware, por lo que Emotet sigue siendo un malware que los defensores deben tener en cuenta.
