Monitorando l’attività attuale della botnet Emotet, i ricercatori di sicurezza hanno scoperto che le bande di ransomware Quantum e BlackCat utilizzano ora il malware per distribuire i loro payload.
Il gruppo Conti è stato quello che ha orchestrato il suo ritorno a novembre, dopo che un’azione di contrasto internazionale ha abbattuto l’infrastruttura di Emotet all’inizio del 2021.
“La botnet Emotet (nota anche come SpmTools) ha alimentato i principali gruppi criminali informatici come vettore di attacco iniziale, o precursore, per numerosi attacchi in corso”, hanno dichiarato i ricercatori di sicurezza della società di intelligence AdvIntel.
“Dal novembre 2021 allo scioglimento di Conti nel giugno 2022, Emotet è stato uno strumento ransomware esclusivo di Conti, tuttavia la catena di infezione di Emotet è attualmente attribuita a Quantum e BlackCat”.
Secondo AdvIntel, la botnet viene ora utilizzata per installare un beacon Cobalt Strike sui sistemi infetti come payload di secondo livello, consentendo agli aggressori di spostarsi lateralmente e distribuire payload ransomware sulla rete della vittima.
Ciò corrisponde al flusso di attacco di Conti che includeva Emotet dopo il suo rilancio, senza il vettore di accesso iniziale attraverso la botnet TrickBot.
AdvIntel afferma che Emotet ha inflitto molti danni dall’inizio dell’anno, poiché ha monitorato più di 1.200.000 sistemi infettati da Emotet in tutto il mondo, con un picco di attività tra febbraio e marzo.
La valutazione di AdvIntel è stata confermata a giugno da ESET, che ha dichiarato di aver rilevato un massiccio aumento dell’attività di Emotet dall’inizio dell’anno, “con una crescita di oltre 100 volte rispetto al T3 2021”.
Ad agosto Agari ha inoltre rivelato che la botnet ha registrato un’impennata significativa nel secondo trimestre, sostituendo QBot nelle campagne di phishing e rappresentando complessivamente oltre il 90% di tutto il malware arrivato nelle caselle di posta dei suoi clienti.
Il malware Emotet è stato distribuito per la prima volta negli attacchi come trojan bancario nel 2014 e si è evoluto in una botnet utilizzata dal gruppo di minacce TA542 (alias Mummy Spider) per rubare dati, eseguire ricognizioni e spostarsi lateralmente nelle reti delle vittime, nonché per fornire payload dannosi di secondo livello.
Da giugno, la botnet è stata aggiornata per infettare le potenziali vittime con un modulo per il furto di carte di credito che tenterà di raccogliere le informazioni sulle carte di credito memorizzate nei profili degli utenti di Google Chrome.
Questo cambiamento è avvenuto dopo l’aumento dell’attività nel mese di aprile e il passaggio a moduli a 64 bit, come ha rilevato il gruppo di ricerca sulla sicurezza Cryptolaemus.
Emotet (proprio come Qbot e IcedID) è anche passato ai file di collegamento di Windows (.LNK) dall’utilizzo delle macro di Microsoft Office (ora disattivate per impostazione predefinita) come vettore di attacco per infettare i dispositivi degli obiettivi.
Fortunatamente, le campagne di Emotet non sono molto attive, se non del tutto, al momento, mentre la maggior parte delle campagne di malware phishing ruota attorno a Qbot e IcedID.
Tuttavia, questa situazione potrebbe cambiare rapidamente e portare a una rapida diffusione di attacchi ransomware, quindi Emotet continua a essere un malware a cui i difensori devono prestare attenzione.
