Бесплатно Экспресс-аудит сайта:

23.11.2021

Кибервымогатели Conti убедили Emotet вернуться

Недавно SecurityLab сообщал о том, что ликвидированный Европолом в начале года ботнет Emotet снова начал подавать признаки жизни. Как оказалось, бывший оператор ботсети взялся за ее восстановление из-за высокого спроса, в особенности со стороны кибервымогательской группировки Conti.

По мнению специалистов ИБ-компании Advanced Intelligence (AdvIntel), возобновлению проекта в частности поспособствовало отсутствие предложений на рынке первоначального доступа, возникшее после ликвидации Emotet. В течение десяти месяцев, пока ботнет был отключен, децентрализованные операции по распространению вымогательского ПО испытывали трудности с загрузчиками своих программ.

Поскольку Emotet был одной из самых распространенных вредоносных программ, он также играл роль загрузчика для другого вредоносного ПО, обеспечивавшего его операторам первоначальный доступ к зараженным системам. В частности, основными клиентами Emotet были Qbot и TrickBot, загружавшие на атакуемые компьютеры вымогательское ПО (Ryuk, Conti, ProLock, Egregor, DoppelPaymer и пр.).

Операторы ботнета предоставляли первоначальный доступ в промышленном масштабе, поэтому от Emotet зависели многие вредоносные операции, особенно так называемая триада Emotet-TrickBot-Ryuk.

Ryuk является предшественником вымогателя Conti, активность которого стала расти в прошлом году после снижения активности Ryuk.

По словам исследователей из AdvIntel, после отключения Emotet топовые кибервымогательские группировки наподобие Conti (загружается через TrickBot и BazarLoader) и DoppelPaymer (загружается через Dridex) остались без качественного источника первоначального доступа.

Исследователи полагают, что одной из причин, способствовавших закрытию в этом году нескольких RaaS-операций с использованием программ-вымогателей (Babuk, DarkSide, BlackMatter, REvil, Avaddon), являлся низкий уровень доступа (RDP, уязвимый VPN, некачественный спам) брокеров и продавцов первоначального доступа.

Группировка Conti, в состав которой входит по крайней мере один бывший член Ryuk, вместе с крупнейшим клиентом Emotet, TrickBot, попросили операторов Emotet вернуть проект к жизни.

Исследователи AdvIntel уверены, что как только Emotet разрастется и станет доминирующим игроком на кибервымогательской арене, Conti будет доставлять свою полезную нагрузку на атакуемые системы через него.