A relação entre Trickbot, Emotet e Conti foi bem documentada, com muitos pesquisadores de segurança mostrando como os agentes de ameaças usaram a combinação de malware para lançar uma infinidade de esquemas. Esse relacionamento ganhou maior destaque nas últimas semanas, pois os Conti Leaks mostram o quão interdependentes são as afiliadas da Conti no Emotet. Por meio de uma combinação de informações extraídas desses vazamentos e do monitoramento técnico das campanhas do Emotet pela Intel 471, agora temos uma compreensão mais clara de como os criminosos estão usando o Emotet em conjunto com a Conti.
A Intel 471 avalia com alta confiança que os alvos de spam dos operadores de malware Emotet entrarão em um grupo de potenciais vítimas do Conti. A Intel 471 analisou incidentes de ransomware Conti de 25 de dezembro de 2021 a 25 de março de 2022 e descobriu mais de uma dúzia de alvos que eram destinatários do malspam do Emotet. Embora o que o Intel 471 mediu tenha sido baseado em ataques conhecidos, o verdadeiro grau de correlação entre os destinatários de spam do Emotet e as vítimas de violação do ransomware Conti pode ser maior, pois nem todas as vítimas do Conti são listadas publicamente no blog name-and-shame por vários motivos , incluindo vítimas que optam por pagar resgates para permanecerem anônimas. Intel 471 acredita que é provável que o Emotet seja altamente confiável pelos operadores de ransomware Conti para encontrar suas vítimas atuais.
O gráfico abaixo mostra as datas em que o Emotet apareceu nos sistemas, seguido por um ataque de ransomware em que o Conti foi usado.
Os números negativos na tabela acima indicam que algumas vítimas ainda estavam recebendo malspam do Emotet após um incidente de ransomware já ter sido listado no blog de Conti. Este é um ponto importante a ser destacado, pois fornece uma ótima visão da operação geral do grupo de ransomware Conti e dos operadores do Emotet.
Embora o Emotet tenha sido vinculado em conjunto com o Trickbot e o Conti, o Emotet não opera sob o mesmo guarda-chuva de liderança (ao contrário do Trickbot, que o Conti “adquiriu” no início deste ano) que as outras duas formas de malware. A operação de malspam do Emotet é independente e massiva, com algumas partes sendo executadas de forma automatizada. O que provavelmente está ocorrendo é que a maioria dos destinatários de spam do Emotet não são estritamente visados por um afiliado de ransomware usando o Conti. Em vez disso, o Emotet é usado pelos afiliados da Conti para obter acesso inicial. Assim que o acesso é obtido, a organização é colocada em um conjunto de possíveis alvos de ransomware, onde os operadores de ransomware podem selecionar sua próxima vítima com base nas informações do sistema extraídas pelo Emotet.
Embora o Emotet opere fora dos limites da liderança de Conti, o grupo de ransomware o tornou uma parte fundamental de sua cadeia de ataque, especificamente como parte do Emotet relançado que observamos em novembro de 2021.
A operação anterior do Emotet lançou consistentemente campanhas de spam que eliminaram várias famílias de malware, incluindo IcedID aka Bokbot, Qbot e Trickbot. No entanto, a operação de malspam Emotet atualizada foi observada descartando apenas cargas úteis de Cobalt Strike ou cargas intermediárias, como SystemBC, para descartar Cobalt Strike. Sabemos devido ao Conti Leaks que o grupo alavancou a Cobalt Strike: o jornalista independente Brian Krebs informou que a Conti investiu US$ 60.000 na aquisição de uma licença válida da Cobalt Strike em 2021.
Os vazamentos revelaram ainda evidências de que certos membros da equipe Conti foram responsáveis por entregar o desenvolvimento do Trickbot e do Emotet. O vazamento revelou o ator “veron” também conhecido como “mors”, que dirige a operação de spam do malware Emotet, relata um gerente sênior da organização Conti, que usa o identificador “stern”. Essas informações estão alinhadas com nossas próprias observações e monitoramento de longo prazo das campanhas de malware Emotet e TrickBot. Nas campanhas anteriores, apenas os bots com a tag do grupo Trickbot (gtag) “mors” recebiam comandos para baixar e executar o Emotet. Isso sugere que “mors” adicionou a gtag ao Trickbot.
Quando qualquer organização encontra um processo operacional bem-sucedido, apoia-se nele o máximo possível. Os Conti Leaks mostraram como esse grupo se comporta como um negócio legítimo, adotando práticas consagradas que permitem cumprir seus objetivos. Esses vazamentos mostram o quão crucial o Emotet foi para os esquemas de ransomware da Conti. Embora nem todas as instâncias do Emotet signifiquem que um ataque de ransomware é iminente, nossa pesquisa mostra que há uma chance maior de um ataque se o Emotet for detectado nos sistemas das organizações. Ao ser proativo contra o Emotet, os defensores podem salvar suas organizações de outros problemas que podem causar danos substanciais às suas operações.
Fonte: INTEL471
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
