Кибервымогатели Conti убедили Emotet вернуться

Кибервымогатели Conti убедили Emotet вернуться

Пока ботнет был отключен, операторы вымогательского ПО испытывали трудности с доставкой своих программ на системы.

Недавно SecurityLab сообщал о том, что ликвидированный Европолом в начале года ботнет Emotet снова начал подавать признаки жизни. Как оказалось, бывший оператор ботсети взялся за ее восстановление из-за высокого спроса, в особенности со стороны кибервымогательской группировки Conti.

По мнению специалистов ИБ-компании Advanced Intelligence (AdvIntel), возобновлению проекта в частности поспособствовало отсутствие предложений на рынке первоначального доступа, возникшее после ликвидации Emotet. В течение десяти месяцев, пока ботнет был отключен, децентрализованные операции по распространению вымогательского ПО испытывали трудности с загрузчиками своих программ.

Поскольку Emotet был одной из самых распространенных вредоносных программ, он также играл роль загрузчика для другого вредоносного ПО, обеспечивавшего его операторам первоначальный доступ к зараженным системам. В частности, основными клиентами Emotet были Qbot и TrickBot, загружавшие на атакуемые компьютеры вымогательское ПО (Ryuk, Conti, ProLock, Egregor, DoppelPaymer и пр.).

Операторы ботнета предоставляли первоначальный доступ в промышленном масштабе, поэтому от Emotet зависели многие вредоносные операции, особенно так называемая триада Emotet-TrickBot-Ryuk.

Ryuk является предшественником вымогателя Conti, активность которого стала расти в прошлом году после снижения активности Ryuk.

По словам исследователей из AdvIntel, после отключения Emotet топовые кибервымогательские группировки наподобие Conti (загружается через TrickBot и BazarLoader) и DoppelPaymer (загружается через Dridex) остались без качественного источника первоначального доступа.

Исследователи полагают, что одной из причин, способствовавших закрытию в этом году нескольких RaaS-операций с использованием программ-вымогателей (Babuk, DarkSide, BlackMatter, REvil, Avaddon), являлся низкий уровень доступа (RDP, уязвимый VPN, некачественный спам) брокеров и продавцов первоначального доступа.

Группировка Conti, в состав которой входит по крайней мере один бывший член Ryuk, вместе с крупнейшим клиентом Emotet, TrickBot, попросили операторов Emotet вернуть проект к жизни.

Исследователи AdvIntel уверены, что как только Emotet разрастется и станет доминирующим игроком на кибервымогательской арене, Conti будет доставлять свою полезную нагрузку на атакуемые системы через него.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!