Κατά την παρακολούθηση της τρέχουσας δραστηριότητας του Emotet botnet, οι ερευνητές ασφαλείας διαπίστωσαν ότι οι συμμορίες ransomware Quantum και BlackCat χρησιμοποιούν τώρα το κακόβουλο λογισμικό για να αναπτύξουν τα ωφέλιμα φορτία τους.
Αυτή είναι μια ενδιαφέρουσα εξέλιξη δεδομένου ότι το συνδικάτο Conti cybercrime ήταν αυτό που χρησιμοποιούσε στο παρελθόν το botnet πριν κλείσει τον Ιούνιο.
Ο όμιλος Conti ήταν αυτός που ενορχήστρωσε την επιστροφή του τον Νοέμβριο μετά από μια διεθνή ενέργεια επιβολής του νόμου που κατέστρεψε την υποδομή της Emotet στις αρχές του 2021.
“Από τον Νοέμβριο του 2021 έως τη διάλυση της Conti τον Ιούνιο του 2022, το Emotet ήταν ένα αποκλειστικό εργαλείο Conti ransomware, ωστόσο, η αλυσίδα μόλυνσης Emotet αποδίδεται επί του παρόντος στην Quantum και τη BlackCat.”
Το botnet χρησιμοποιείται τώρα για την εγκατάσταση Cobalt Strike σε μολυσμένα συστήματα ως ωφέλιμο φορτίο δεύτερου σταδίου, σύμφωνα με την AdvIntel, επιτρέποντας στους εισβολείς να κινούνται πλευρικά και να αναπτύσσουν ωφέλιμα φορτία ransomware στο δίκτυο του θύματος.
Αυτό ταιριάζει με τη ροή επίθεσης του Conti που περιελάμβανε το Emotet μετά την αναβίωσή του, μείον το διάνυσμα αρχικής πρόσβασης μέσω του botnet TrickBot.
Η AdvIntel λέει ότι η Emotet έχει προκαλέσει μεγάλη ζημιά από την αρχή του έτους, καθώς έχει παρακολουθήσει περισσότερα από 1.200.000 συστήματα που έχουν μολυνθεί από το Emotet παγκοσμίως, με κορύφωση δραστηριότητας μεταξύ Φεβρουαρίου και Μαρτίου.
