La red de botnet más grandes del mundo, Emotet, ha vuelto por demanda popular, resucitada por su antiguo operador, que fue convencido por miembros de la banda Conti Ransomware.
Según los investigadores de ciberseguridad de la empresa de inteligencia Advanced Intelligence (AdvIntel) creen que la reanudación del proyecto fue impulsada por el vacío que el propio Emotet dejó en el mercado de acceso inicial de alta calidad después de que las fuerzas de seguridad lo eliminaran hace diez meses, tras un gran operativo en conjunto llevado a cabo por diferentes gobiernos.
El resurgimiento de la red de bots se produce después de un largo periodo de escasez de payloads de malware y del declive de las operaciones descentralizadas de ransomware que permitieron el ascenso de los sindicatos del crimen organizado. Considerado el malware de mayor distribución, Emotet actuaba como un loader de malware que proporcionaba a otros operadores de malware el acceso inicial a los sistemas infectados que se consideraban valiosos. Facilitando de esta manera, las operaciones de infección por parte de los afiliados. Qbot y TrickBot, en particular, eran los principales clientes de Emotet y utilizaban su acceso para desplegar ransomware (por ejemplo, Ryuk, Conti, ProLock, Egregor, DoppelPaymer y otros).
Ryuk es el predecesor del Conti Ransomware. El cambio se produjo el año pasado, cuando la actividad de Conti comenzó a aumentar y las detecciones de Ryuk disminuyeron. Los operadores de ambas cepas de ransomware tienen un largo historial de ataques contra organizaciones del sector sanitario y educativo.
Los investigadores de AdvIntel afirman que una vez que Emotet desapareció de la escena, los grupos cibercriminales de primer nivel, como Conti (cargado por TrickBot y BazarLoader) y DoppelPaymer (cargado por Dridex) se quedaron sin una opción viable para el acceso inicial de alta calidad.
Los investigadores creen que una de las razones que contribuyeron al cierre de múltiples operaciones de ransomware como servicio (RaaS) durante el año (Babuk, DarkSide, BlackMatter, REvil, Avaddon) fue que los afiliados utilizaron vendedores y corredores de acceso de bajo nivel, principalmente RDP, VPN vulnerable, spam de baja calidad.
Con los competidores abandonando el negocio del ransomware, los «grupos tradicionales» como Conti (antes Ryuk) y EvilCorp volvieron a escalar posiciones, atrayendo a «los talentosos especialistas en malware que están abandonando masivamente los RaaS disueltos».
El grupo Conti, con al menos un antiguo miembro de Ryuk a bordo y en asociación con el mayor cliente de Emotet, TrickBot, estaba en la mejor posición para pedir a los operadores de Emotet que volvieran.
Además, investigadores de AdvIntel confían en que el grupo Conti entregará sus payloads a objetivos de alto valor a través de Emotet una vez que la botnet crezca, y se convertirá en un actor dominante en la escena del ransomware. Dado que las asociaciones dan los mejores resultados, como ha demostrado la alianza Emotet-TrickBot-Ryuk en 2019 y 2020, es posible que una nueva tríada se eleve pronto por encima de otras operaciones, con el ransomware Conti como carga útil final.
Más información

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence