Conti y Emotet: un dúo constantemente destructivo

Las filtraciones de Conti muestran cuán crucial ha sido Emotet para los esquemas de ransomware de Conti.


La relación entre Trickbot, Emotet y Conti ha sido bien documentada, con muchos investigadores de seguridad que muestran cómo los actores de amenazas han usado la combinación de malware para lanzar una gran cantidad de esquemas. Esta relación se ha centrado más en las últimas semanas, ya que las filtraciones muestra cuán interdependientes son los afiliados de Conti en Emotet. A través de una combinación de información extraída de esas filtraciones y el monitoreo técnico de Intel 471 de las campañas de Emotet, ahora tenemos una comprensión más clara de cómo los delincuentes usan Emotet junto con Conti.


Intel 471 evalúa con gran confianza que los objetivos de spam de los operadores de malware de Emotet entrarán en un grupo de posibles víctimas de Conti. Intel 471 analizó los incidentes de ransomware Conti desde el 25 de diciembre de 2021 hasta el 25 de marzo de 2022 y descubrió más de una docena de objetivos que eran destinatarios de Emotet mail spam.


Si bien lo que Intel 471 midió se basó en ataques conocidos, el verdadero grado de correlación entre los destinatarios de correo no deseado de Emotet y las víctimas de violación de ransomware de Conti puede ser mayor, ya que no todas las víctimas de Conti se enumeran públicamente en el blog de nombre y vergüenza por una variedad de razones, incluidas las víctimas que optan por pagar rescates para permanecer en el anonimato. Intel 471 cree que es probable que los operadores de ransomware Conti confíen mucho en Emotet para encontrar a sus víctimas actuales.


El siguiente gráfico muestra las fechas en que Emotet apareció en los sistemas, seguido de un ataque de ransomware en el que se utilizó Conti.




Los números negativos en la tabla anterior indican que algunas víctimas todavía recibían Emotet malspam después de que un incidente de ransomware ya figuraba en el blog de Conti. Este es un punto importante a destacar, ya que brinda una gran perspectiva del funcionamiento general del grupo de ransomware Conti y los operadores de Emotet.


Si bien Emotet se ha vinculado en concierto con Trickbot y Conti, Emotet no opera bajo el mismo paraguas de liderazgo (a diferencia de Trickbot, que Conti "adquirió" a principios de este año) como las otras dos formas de malware. La operación de malspam de Emotet es independiente y masiva, con algunas partes ejecutándose de manera automatizada. Lo que probablemente ocurra es que la mayoría de los destinatarios de spam de Emotet no estén estrictamente dirigidos por un afiliado de ransomware que use Conti. En cambio, los afiliados de Conti utilizan Emotet para obtener acceso inicial. Una vez que se obtiene el acceso, la organización se coloca en un grupo de posibles objetivos de ransomware, donde los operadores de ransomware pueden seleccionar su próxima víctima en función de la información del sistema extraída por Emotet.


Aunque Emotet opera fuera de los límites del liderazgo de Conti, el grupo de ransomware lo ha convertido en una parte clave de su cadena de ataque, específicamente como parte del relanzamiento de Emotet que observamos en noviembre de 2021.


La operación anterior de Emotet lanzó constantemente campañas de malspam que eliminaron varias familias de malware, incluidas IcedID, también conocido como Bokbot, Qbot y Trickbot. Sin embargo, se ha observado que la operación de malspam de Emotet actualizada descarta solo cargas útiles de Cobalt Strike o cargas útiles intermedias, como SystemBC, para eliminar Cobalt Strike. Gracias a las filtraciones de Conti, sabemos que el grupo aprovechó Cobalt Strike: el periodista independiente Brian Krebs informó que Conti invirtió 60 000 USD para adquirir una licencia válida de Cobalt Strike en 2021.


Las filtraciones revelaron además evidencia de que ciertos miembros del equipo de Conti fueron responsables de entregar el desarrollo de Trickbot y Emotet. La filtración reveló que el actor "veron", también conocido como "mors", que dirige la operación de spam de malware de Emotet, informa a un alto directivo de la organización Conti, que utiliza el identificador "severo". Esta información se alinea con nuestras propias observaciones y el seguimiento a largo plazo de las campañas de malware de Emotet y TrickBot. En campañas anteriores, solo los bots con la etiqueta de grupo Trickbot (gtag) "mors" recibieron comandos para descargar y ejecutar Emotet. Esto sugiere que "mors" agregó el gtag a Trickbot.


Cuando cualquier organización encuentra un proceso operativo exitoso, se apoya en él tanto como sea posible. Los Conti Leaks han demostrado cómo este grupo se comporta como un negocio legítimo, adoptando prácticas muy conocidas que le permiten cumplir con sus objetivos. Estas filtraciones muestran cuán crucial ha sido Emotet para los esquemas de ransomware de Conti. Si bien no todas las instancias de Emotet significan que un ataque de ransomware es inminente, nuestra investigación muestra que existe una mayor posibilidad de un ataque si se detecta Emotet en los sistemas de las organizaciones. Al ser proactivos contra Emotet, los defensores pueden salvar a sus organizaciones de más problemas que podrían causar un daño sustancial a sus operaciones.




8 visualizaciones0 comentarios