El malware Emotet ahora está siendo aprovechado por grupos de ransomware como servicio (RaaS), incluidos Quantum y BlackCat, después del retiro oficial de Conti del panorama de amenazas este año.
Emotet comenzó como un troyano bancario en 2014, pero las actualizaciones que se le agregaron con el tiempo transformaron el malware en una amenaza muy potente que es capaz de descargar otras cargas útiles en la máquina de la víctima, lo que le permitiría al atacante controlarla de forma remota.
Aunque la infraestructura asociada con el cargador de malware invasivo se eliminó como parte de un esfuerzo de aplicación de la ley en enero de 2021, se dice que el cártel de ransomware Conti desempeñó un papel fundamental en su regreso a fines del año pasado.
“Desde noviembre de 2021 hasta la disolución de Conti en junio de 2022, Emotet fue una herramienta exclusiva de ransomware de Conti; sin embargo, la cadena de infección de Emotet se atribuye actualmente a Quantum y BlackCat”, AdvIntel dijo en un aviso publicado la semana pasada.
Las secuencias de ataque típicas implican el uso de Emotet (también conocido como SpmTools) como un vector de acceso inicial para soltar Cobalt Strike, que luego se usa como una herramienta posterior a la explotación para operaciones de ransomware.
Es posible que la notoria banda de ransomware Conti se haya disuelto, pero varios de sus miembros siguen tan activos como siempre, ya sea como parte de otras bandas de ransomware como BlackCat y Hive o como grupos independientes centrados en la extorsión de datos y otras actividades delictivas.
Quantum también es un grupo derivado de Conti que, en los meses intermedios, ha recurrido a la técnica de phishing de devolución de llamada, denominada BazaCall o BazarCall, como un medio para violar las redes específicas.
“Los afiliados de Conti usan una variedad de vectores de acceso inicial que incluyen phishing, credenciales comprometidas, distribución de malware y vulnerabilidades de explotación”, Recorded Future señalado en un informe publicado el mes pasado.
AdvIntel dijo que observó más de 1.267.000 infecciones de Emotet en todo el mundo desde principios de año, con picos de actividad registrados en febrero y marzo coincidiendo con la invasión rusa de Ucrania.
Un segundo aumento de infecciones ocurrió entre junio y julio, debido al uso por parte de grupos de ransomware como Quantum y BlackCat. Los datos capturados por la firma de ciberseguridad muestran que el país más objetivo de Emotet es EE. UU., seguido de Finlandia, Brasil, los Países Bajos y Francia.
ESET informó anteriormente que las detecciones de Emotet se multiplicaron por 100 durante los primeros cuatro meses de 2022 en comparación con los cuatro meses anteriores, de septiembre a diciembre de 2021.
Según la empresa de ciberseguridad israelí Check Point, Emotet caído del primer al quinto lugar en la lista de malware más frecuente para agosto de 2022, detrás de FormBook, Agent Tesla, XMRig y GuLoader.