Ботнет Emotet вернулся по многочисленным просьбам, возродившимся его бывшим оператором, которого убедили члены банды вымогателей Conti.
Исследователи безопасности из разведывательной компании Advanced Intelligence ( AdvIntel ) полагают, что перезапуск проекта был вызван пустотой, которую Emotet оставил на рынке высококачественного начального доступа после того, как правоохранительные органы закрыли его десять месяцев назад.
Возрождение ботнета следует за длительным периодом нехватки загрузчиков вредоносных программ и упадком децентрализованных операций с программами-вымогателями, что позволило синдикатам организованной преступности снова подняться.
Программа-вымогатель Conti может занять доминирующее положение
Emotet, считающийся наиболее распространенным вредоносным ПО, выступал в качестве загрузчика вредоносных программ, который предоставлял другим операторам вредоносных программ первоначальный доступ к зараженным системам, которые были оценены как ценные.
Qbot и TrickBot, в частности, были основными клиентами Emotet и использовали свой доступ для развертывания программ-вымогателей (например, Ryuk, Conti, ProLock, Egregor, DoppelPaymer и других).
«Стратегическая, операционная и тактическая гибкость Emotet была реализована с помощью модульной системы, позволяющей им адаптировать функциональность и специализацию полезной нагрузки к потребностям конкретных клиентов» — AdvIntel
Операторы ботнета предоставили начальный доступ в промышленном масштабе, поэтому многие вредоносные операции зависели от Emotet в своих атаках, особенно в так называемой триаде Emotet-TrickBot-Ryuk.
Ryuk является предшественником программы-вымогателя Conti . Переключение произошло в прошлом году, когда активность Conti начала расти, а количество обнаружений Ryuk сократилось. Операторы обоих штаммов вымогателей имеют долгую историю атак на организации в секторе здравоохранения и образования.
Исследователи AdvIntel говорят, что после того, как Emotet исчез со сцены, киберпреступные группы высшего уровня, такие как Conti (загруженные с помощью TrickBot и BazarLoader) и DoppelPaymer (загруженные с помощью Dridex), остались без жизнеспособного варианта высококачественного начального доступа.
«Это несоответствие между спросом и предложением делает возрождение Emotet важным. Когда этот ботнет вернется, он может серьезно повлиять на всю среду безопасности, сопоставив фундаментальный пробел групп программ-вымогателей »- AdvIntel
Исследователи полагают , что одна из причин , которые способствовали нескольким вымогателей-как-услуга (РААС) операции отключения в этом году ( Бабук , Darkside , BlackMatter , Revil , Avaddon ) было то, что филиалы , используемые продавцами низкоуровневого доступа и брокеров (RDP, уязвимый VPN, некачественный спам).
С уходом конкурентов из бизнеса вымогателей «традиционные группы», такие как Conti (ранее Ryuk) и EvilCorp, снова поднялись по служебной лестнице, привлекая «талантливых специалистов по вредоносным программам, которые массово покидают расформированные RaaSes».
Группа Conti, в состав которой входил по крайней мере один бывший член Ryuk, в партнерстве с крупнейшим клиентом Emotet, TrickBot, была в лучшем положении, чтобы попросить операторов Emotet вернуться.
Исследователи AdvIntel уверены, что группа Conti будет доставлять свою полезную нагрузку к важным целям через Emotet, как только ботнет разрастется, и станет доминирующим игроком на сцене вымогателей.
Поскольку партнерские отношения приносят наилучшие результаты, как показал альянс Emotet-TrickBot-Ryuk в 2019 и 2020 годах, новая триада может вскоре превзойти другие операции с вымогателем Conti в качестве конечной полезной нагрузки.
Последнее обновление 05.01.2023
