Durante le attività di monitoraggio della botnet Emotet, i ricercatori di sicurezza AdvIntel avrebbero scoperto che il famigerato malware ora sarebbe utilizzato dalle gang ransomware Quantum e BlackCat per distribuire i propri payload, sostituendosi al gruppo Conti uscito di scena lo scorso mese di giugno.
Indice degli argomenti
Botnet Emotet, storia del pericoloso malware
Emotet (nota anche come SpmTools) è una botnet originariamente progettata come trojan bancario capace di rubare informazioni sensibili intercettando il traffico Internet. Tuttavia, dalla sua comparsa nel 2014 gli aggiornamenti che si sono susseguiti l’hanno di fatto notevolmente evoluta in un efficiente loader di malware invasivo grazie alla sua capacità di diffusione e infezione.
Come principali vettori di propagazione sono stati impiegati, nelle varie campagne malspam, le macro di Microsoft Office (ora disabilitate per impostazione predefinita), i file di scelta rapida di Windows (.LNK) e da giugno, dopo l’aumento dell’attività nel mese di aprile e il passaggio ai moduli a 64 bit, la botnet è stata anche aggiornata con un modulo di furto di carte di credito per infettare le potenziali vittime raccogliendo le informazioni memorizzate nei profili utente di Google Chrome.
Il cambio della guardia
Dopo essere stata uno strumento ransomware ad uso esclusivo del gruppo Conti fino al suo scioglimento ad inizio estate 2022, attualmente la botnet Emotet risulterebbe essere un vettore di attacco iniziale impiegato dai gruppi ransomware Quantum e BlackCat.
L’influenza del gruppo Conti, lo ricordiamo, è stato determinante per il ritorno di Emotet a novembre 2021 dopo che un’operazione delle forze dell’ordine internazionali denominata LadyBird aveva abbattuto la relativa infrastruttura all’inizio dello stesso anno.
Cobalt Strike come payload di seconda fase
Secondo l’analisi AdvIntel, la botnet ora sarebbe utilizzata per installare sui sistemi infetti un beacon Cobalt Strike come payload di seconda fase, consentendo agli attaccanti di spostarsi lateralmente e distribuire payload di ransomware attraverso la rete colpita.
“Il flusso osservato dell’attaccante della tassonomia botnet per Emotet è Emotet/Cobalt Strike/Operazione ransomware. Ciò significa che attualmente, il modo in cui gli attori delle minacce utilizzano principalmente Emotet è come un dropper o un downloader per un beacon Cobalt Strike, che distribuisce un carico utile che consente agli attori delle minacce di prendere il controllo delle reti ed eseguire operazioni di ransomware”, si legge nel rapporto dei ricercatori di sicurezza.
Botnet Emotet: la prudenza non è mai troppa
Secondo AdvIntel, Emotet dall’inizio dell’anno avrebbe infettato più di 1.200.000 sistemi in tutto il mondo, con un picco di attività tra febbraio e marzo in particolare a partire dall’inizio del conflitto russo-ucraino come confermato anche da più fronti della comunità di sicurezza informatica.
#Emotet botnet shifted to a higher gear in T1 2022, with its activity growing more than 100-fold vs T3 2021. #ESETresearch detected its biggest campaign on March 16, targeting Japan 🇯🇵, Italy 🇮🇹, and Mexico 🇲🇽. 1/4 pic.twitter.com/NHZtLJ4BfP
— ESET Research (@ESETresearch) June 7, 2022
I paesi maggiormente colpiti sarebbero stati gli USA con il 35,7% del set di dati, a seguire Finlandia (10,3%), Brasile (9,9%), Paesi Bassi (9,4%) e Francia (7,7%).
Sebbene le campagne malspam veicolanti Emotet, non risultino particolarmente attive per il momento, il recente passato ci insegna come il trend potrebbe repentinamente cambiare portando ad una rapida escalation di attacchi ransomware e non solo.
Non dimentichiamo che il gruppo Conti potrebbe essersi ritirato dal panorama cyber crime, ma molti dei suoi membri potrebbero ancora confluire in altri collettivi o gruppi indipendenti. Pertanto l’attenzione deve restare sempre alta.
