ΑρχικήsecurityEmotet: Χρησιμοποιείται από τις ransomware συμμορίες Quantum και BlackCat

Emotet: Χρησιμοποιείται από τις ransomware συμμορίες Quantum και BlackCat

Κατά την παρακολούθηση της τρέχουσας δραστηριότητας του botnet Emotet, ερευνητές ασφαλείας ανακάλυψαν ότι οι ransomware συμμορίες Quantum και BlackCat χρησιμοποιούν τώρα το δημοφιλές κακόβουλο λογισμικό για να αναπτύξουν τα κακόβουλα payloads τους.

Emotet ransomware

Περαιτέρω δεδομένα από την έρευνα δείχνουν ότι οι μολύνσεις από το Emotet κορυφώθηκαν στην αρχή της ρωσο-ουκρανικής κρίσης, με τις ομάδες Quantum και BlackCat να αρχίζουν να χρησιμοποιούν το κακόβουλο λογισμικό σε επιθέσεις. Η χώρα που στοχεύει περισσότερο το κακόβουλο λογισμικό είναι οι ΗΠΑ, με ποσοστό περίπου 36%.

Δείτε επίσης: Ισραηλινοί πίσω από υποκλοπές κινητών τηλεφώνων και WiFi αεροδρομίων στην Ελλάδα

Το Emotet έχει χρησιμοποιηθεί στο παρελθόν και από τη συμμορία Conti. Στην πραγματικότητα, η ransomware συμμορία Conti ήταν αυτή που ενορχήστρωσε την επιστροφή του Emotet τον περασμένο Νοέμβριο μετά από μια διεθνή επιχείρηση που είχε καταστρέψει την υποδομή του Emotet στις αρχές του 2021.

Σύμφωνα με τους ερευνητές της AdvIntel, όμως, το botnet Emotet (γνωστό και ως SpmTools) είναι και πάλι πολύ ενεργό και χρησιμοποιείται από πολλές εγκληματικές ομάδες ως αρχικό στάδιο επίθεσης.

Από τον Νοέμβριο του 2021 έως τη διάλυση της ομάδας Conti τον Ιούνιο του 2022, το Emotet αποτελούσε ένα αποκλειστικό εργαλείο της Conti ransomware συμμορίας, ωστόσο, η αλυσίδα μόλυνσης Emotet αποδίδεται επί του παρόντος στις συμμορίες Quantum και BlackCat“.

Σύμφωνα με τους ερευνητές που ανακάλυψαν τις νέες επιθέσεις, το botnet χρησιμοποιείται τώρα για την εγκατάσταση ενός Cobalt Strike beacon σε μολυσμένα συστήματα ως payload δεύτερου σταδίου, επιτρέποντας στους εισβολείς lateral movement και ανάπτυξη του ransomware στο δίκτυο του θύματος.

Δείτε επίσης: Grand Theft Auto 6: Διέρρευσαν βίντεο και source code

Η AdvIntel λέει ότι το Emotet έχει προκαλέσει μεγάλη ζημιά από την αρχή του έτους. Οι ερευνητές έχουν εντοπίσει περισσότερα από 1.200.000 συστήματα που έχουν μολυνθεί από το Emotet παγκοσμίως. Οι περισσότερες επιθέσεις πραγματοποιήθηκαν μεταξύ Φεβρουαρίου και Μαρτίου.

Η αξιολόγηση της AdvIntel επιβεβαιώθηκε τον Ιούνιο από την ESET, η οποία επίσης εντόπισε μια τεράστια αύξηση στη δραστηριότητα του Emotet από την αρχή του έτους.

Το ίδιο φαίνεται να υποστήριξε και η εταιρεία Agari, η οποία τον Αύγουστο αποκάλυψε ότι το botnet σημείωσε σημαντική άνοδο κατά το 2ο τρίμηνο, αντικαθιστώντας το QBot στις καμπάνιες phishing και αντιπροσωπεύοντας συλλογικά περισσότερο από το 90% όλων των κακόβουλων προγραμμάτων που έφτασαν στα εισερχόμενα των πελατών της.

Emotet Quantum BlackCat

Το Emotet malware εμφανίστηκε πρώτη φορά 2014 και αρχικά χρησιμοποιούνταν αποκλειστικά σαν banking trojan. Σταδιακά εξελίχθηκε σε ένα botnet που χρησιμοποιούνταν από την ομάδα απειλών TA542 (γνωστή και ως Mummy Spider) για κλοπή δεδομένων, εκτέλεση reconnaissance και lateral movement στα δίκτυα των θυμάτων. Επίσης, το malware χρησιμοποιήθηκε και για την παράδοση κακόβουλων payloads δεύτερου σταδίου.

Όπως είπαμε και προηγουμένως, στις αρχές του περασμένου έτους, οι αρχές κατάφεραν να καταστρέψουν την υποδομή του botnet. Το Νοέμβριο, όμως, επέστρεψε με τη βοήθεια του επίσης γνωστού Trickbot, και από τότε χρησιμοποιείται ξανά σε πολλές επιθέσεις.

Δείτε επίσης: TeamTNT: Επιστρέφει και εξορύσσει Bitcoin μέσω διακομιστών

Από τον Ιούνιο, το botnet αναβαθμίστηκε αποκτώντας μια δυνατότητα που του επιτρέπει να κλέβει πιστωτικές κάρτες. Αυτή η δυνατότητα συλλέγει πληροφορίες πιστωτικών καρτών που είναι αποθηκευμένες στα προφίλ χρηστών στο Google Chrome.

Το Emotet (όπως το Qbot και το IcedID) έχει επίσης μεταβεί σε αρχεία συντόμευσης των Windows (.LNK) ως φορέα επίθεσης για τη μόλυνση των συσκευών στόχων.

Αυτή τη στιγμή, οι επιθέσεις δεν είναι τόσο αυξημένες, αλλά αν λάβουμε υπόψη τη χρήση του Emotet από τις ransomware συμμορίες Quantum και BlackCat, αυτό μπορεί να αλλάξει σύντομα. Το Emotet συνεχίζει να είναι ένα επικίνδυνο κακόβουλο λογισμικό, γι’ αυτό πρέπει όλοι να προσέχουμε τα συστήματά μας.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS