La red de bots Emotet ahora impulsa el ransomware Quantum y BlackCat

Al supervisar la actividad actual de la red de bots Emotet, los investigadores de seguridad descubrieron que las bandas de ransomware Quantum y BlackCat están utilizando el malware para desplegar sus cargas útiles.

Se trata de un acontecimiento interesante dado que el sindicato de ciberdelincuentes Conti fue el que utilizó previamente la botnet antes de cerrarla en junio.

El grupo Conti fue el que orquestó su regreso en noviembre, después de que una acción policial internacional acabara con la infraestructura de Emotet a principios de 2021.

“La red de bots Emotet (también conocida como SpmTools) ha alimentado a los principales grupos cibercriminales como vector de ataque inicial, o precursor, de numerosos ataques en curso”, señalan los investigadores de seguridad de la empresa de inteligencia AdvIntel.

“Desde noviembre de 2021 hasta la disolución de Conti en junio de 2022, Emotet fue una herramienta de ransomware exclusiva de Conti, sin embargo, la cadena de infección de Emotet se atribuye actualmente a Quantum y BlackCat”.

Según AdvIntel, la botnet se utiliza ahora para instalar una baliza Cobalt Strike en los sistemas infectados como carga útil de segunda etapa, lo que permite a los atacantes moverse lateralmente y desplegar cargas útiles de ransomware en la red de la víctima.

Esto coincide con el flujo de ataque de Conti que incluía Emotet después de su reactivación, menos el vector de acceso inicial a través de la red de bots TrickBot.

AdvIntel afirma que Emotet ha estado infligiendo bastantes daños desde principios de año, ya que ha rastreado más de 1.200.000 sistemas infectados por Emotet en todo el mundo, con un pico de actividad entre febrero y marzo.

La evaluación de AdvIntel fue confirmada en junio por ESET, que dijo que había detectado un aumento masivo de la actividad de Emotet desde el comienzo del año, “creciendo más de 100 veces frente al T3 2021”.

Agari también reveló en agosto que la botnet experimentó un aumento significativo en el segundo trimestre, reemplazando a QBot en las campañas de phishing, representando colectivamente más del 90% de todo el malware que aterrizó en las bandejas de entrada de sus clientes.

El malware Emotet se desplegó por primera vez en ataques como troyano bancario en 2014 y ha evolucionado hasta convertirse en una botnet utilizada por el grupo de amenazas TA542 (también conocido como Mummy Spider) para robar datos, realizar reconocimientos y moverse lateralmente por las redes de las víctimas, así como para entregar cargas útiles maliciosas de segunda etapa.

Fuente: bleepingcomputer

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies