Blog

¿El regreso de EMOTET viene por Conti Ransomware?

La red de botnet más grandes del mundo, Emotet, ha vuelto por demanda popular, resucitada por su antiguo operador, que fue convencido por miembros de la banda Conti Ransomware.

Según los investigadores de ciberseguridad de la empresa de inteligencia Advanced Intelligence (AdvIntel) creen que la reanudación del proyecto fue impulsada por el vacío que el propio Emotet dejó en el mercado de acceso inicial de alta calidad después de que las fuerzas de seguridad lo eliminaran hace diez meses, tras un gran operativo en conjunto llevado a cabo por diferentes gobiernos.

El resurgimiento de la red de bots se produce después de un largo periodo de escasez de payloads de malware y del declive de las operaciones descentralizadas de ransomware que permitieron el ascenso de los sindicatos del crimen organizado. Considerado el malware de mayor distribución, Emotet actuaba como un loader de malware que proporcionaba a otros operadores de malware el acceso inicial a los sistemas infectados que se consideraban valiosos. Facilitando de esta manera, las operaciones de infección por parte de los afiliados. Qbot y TrickBot, en particular, eran los principales clientes de Emotet y utilizaban su acceso para desplegar ransomware (por ejemplo, Ryuk, Conti, ProLock, Egregor, DoppelPaymer y otros).

Ryuk es el predecesor del Conti Ransomware. El cambio se produjo el año pasado, cuando la actividad de Conti comenzó a aumentar y las detecciones de Ryuk disminuyeron. Los operadores de ambas cepas de ransomware tienen un largo historial de ataques contra organizaciones del sector sanitario y educativo.

Los investigadores de AdvIntel afirman que una vez que Emotet desapareció de la escena, los grupos cibercriminales de primer nivel, como Conti (cargado por TrickBot y BazarLoader) y DoppelPaymer (cargado por Dridex) se quedaron sin una opción viable para el acceso inicial de alta calidad.

Los investigadores creen que una de las razones que contribuyeron al cierre de múltiples operaciones de ransomware como servicio (RaaS) durante el año (Babuk, DarkSide, BlackMatter, REvil, Avaddon) fue que los afiliados utilizaron vendedores y corredores de acceso de bajo nivel, principalmente RDP, VPN vulnerable, spam de baja calidad.

Con los competidores abandonando el negocio del ransomware, los «grupos tradicionales» como Conti (antes Ryuk) y EvilCorp volvieron a escalar posiciones, atrayendo a «los talentosos especialistas en malware que están abandonando masivamente los RaaS disueltos».

El grupo Conti, con al menos un antiguo miembro de Ryuk a bordo y en asociación con el mayor cliente de Emotet, TrickBot, estaba en la mejor posición para pedir a los operadores de Emotet que volvieran.

Además, investigadores de AdvIntel confían en que el grupo Conti entregará sus payloads a objetivos de alto valor a través de Emotet una vez que la botnet crezca, y se convertirá en un actor dominante en la escena del ransomware. Dado que las asociaciones dan los mejores resultados, como ha demostrado la alianza Emotet-TrickBot-Ryuk en 2019 y 2020, es posible que una nueva tríada se eleve pronto por encima de otras operaciones, con el ransomware Conti como carga útil final.

Más información

https://www.advintel.io/post/corporate-loader-emotet-history-of-x-project-return-for-ransomware

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required