Emotet Botnet, Conti Ransomware çetesinin üyeleri tarafından ikna olan eski operatörü tarafından dirilen, popüler talebe geri döndü.
İstihbarat Şirketi Advanced İstihbaratındaki Güvenlik Araştırmacıları Gelişmiş İstihbarat (AdvinTel), projeyi yeniden başlatmanın, kanun uygulayıcının on ay önce aldıktan sonra yüksek kaliteli ilk erişim piyasasında geride kalan geçersiz emotetin geride kaldığına inanıyor.
Botnet'in canlanması, uzun bir kötü amaçlı yazılım yükleyici yetersizliği ve organize suç eşzamanlılarının tekrar yükselmesine izin veren ademi merkeziyetçi fidye yazılımı operasyonlarının düşüşünü takip eder.
En yaygın dağıtılan kötü amaçlı yazılımları kabul etti, Emotet, diğer kötü amaçlı yazılım operatörlerini değerli olarak değerlendirilen enfekte olmuş sistemlere ilk erişimi sağlayan kötü amaçlı yazılım yükleyici olarak kabul edildi.
QBOT ve Trickbot, özellikle de Emotet'in ana müşterileriydi ve Ransomware'i (örneğin, Ryuk, Conti, Prolock, Egregor, Doppelpaymer ve diğerleri) dağıtmak için erişimini kullandı.
"Emotet'in stratejik, operasyonel ve taktiksel çeviklik, yük fonksiyonelliğini ve belirli müşterilerin ihtiyaçları için uzmanlaşmasını sağlayan modüler bir sistemle idam edildi" - AdvinTel
Botnet operatörleri, endüstriyel ölçekte ilk erişim sağladı, bu yüzden birçok kötü amaçlı yazılım operasyonu, özellikle de emotet-Trickbot-Ryuk Triad'taki olanlar için salakları için emotete bağlı.
AVINTEL ARAŞTIRMALARI, bir zamanlar emotet sahneden kaybolduğunu söylüyor ki, birinci sınıf sibercriminal gruplar, conti (TrickBot ve Bazarloader tarafından yüklenen) ve DoppelPaymer gibi (Dredex tarafından yüklenen), yüksek kaliteli ilk erişim için uygun bir seçenek olmadan kaldı.
"Arz ve talep arasındaki bu tutarsızlık, emotetin dirilişini önemli kılar. Bu botnet döndüğü için, tüm güvenlik ortamını fidyeware gruplarını 'temel boşluk "eşleştirerek etkileyebilir - AdvinTel
Araştırmacılar, bu yılı (Babuk, Darkside, Blackmatter, Revil, Avaddon) birden fazla fidye yazılımı (RAA'lar) operasyonlarına katkıda bulunmanın bir nedeninin (Babuk, Darkside, Blackmatter, Revil, Avaddon) iştiraklerinin düşük seviyeli erişim satıcıları ve brokerleri kullandığı iddiasıydı (RDP, savunmasız VPN, düşük kaliteli spam).
Ransomware Business'ı terk eden rakiplerle, Conti (daha önce Ryuk) ve evilcorp gibi "geleneksel gruplar", bir kez daha merdiveni bir kez daha tırmandı, "dağıtıcı raases bırakan yetenekli kötü amaçlı yazılım uzmanlarını" çekiyor. "
Conti Grubu, gemide en az bir Ryuk eski üyesi olan ve Emotet'in en büyük müşterisi ile ortaklaşa olan Trickbot, Emotet operatörlerini geri dönüş için sormak için en iyi konumdaydı.
AdvinTel araştırmacıları, Botnet büyüdükten sonra Conti Grubu'nun, emotet aracılığıyla yüksek değerli hedeflere göndereceğinden emin olabilirler ve fidye eşyası sahnesinde baskın bir oyuncu haline gelecektir.
Ortaklıklar, 2019 ve 2020'de Emotet-Trickbot-Ryuk İttifakı tarafından gösterildiği gibi en iyi sonuçları verdiğinden, yeni bir triad yakında diğer operasyonların üstünde, nihai yükü olarak conti ransomware ile yükselebilir.
Emotet Malware geri döndü ve botnetini Trickbot üzerinden yeniden inşa ediyor
Trickbot, Conti Ransomware saldırıları için Shatak Phishers ile takımlar
FIN12 hızlı ve odaklanmış fidye yazılımı saldırıları ile sağlık hizmetlerini vurur
İşte dünya çapında posta kutularına isabet eden yeni emotet spam kampanyaları
Lockean çoklu fidye yazılımı, Fransız org'daki saldırılara bağlı iştirakler
Kaynak: Bleeping Computer