Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Кибервымогатели Conti убедили Emotet вернуться

23/11/21

hack66-Nov-23-2021-09-05-53-22-AMБывший оператор ботсети взялся за ее восстановление из-за высокого спроса, в особенности со стороны кибервымогательской группировки Conti.

По мнению специалистов ИБ-компании Advanced Intelligence (AdvIntel), возобновлению проекта в частности поспособствовало отсутствие предложений на рынке первоначального доступа, возникшее после ликвидации Emotet. В течение десяти месяцев, пока ботнет был отключен, децентрализованные операции по распространению вымогательского ПО испытывали трудности с загрузчиками своих программ.

Поскольку Emotet был одной из самых распространенных вредоносных программ, он также играл роль загрузчика для другого вредоносного ПО, обеспечивавшего его операторам первоначальный доступ к зараженным системам. В частности, основными клиентами Emotet были Qbot и TrickBot, загружавшие на атакуемые компьютеры вымогательское ПО (Ryuk, Conti, ProLock, Egregor, DoppelPaymer и пр.).

Операторы ботнета предоставляли первоначальный доступ в промышленном масштабе, поэтому от Emotet зависели многие вредоносные операции, особенно так называемая триада Emotet-TrickBot-Ryuk.

Ryuk является предшественником вымогателя Conti, активность которого стала расти в прошлом году после снижения активности Ryuk.

По словам исследователей из AdvIntel, после отключения Emotet топовые кибервымогательские группировки наподобие Conti (загружается через TrickBot и BazarLoader) и DoppelPaymer (загружается через Dridex) остались без качественного источника первоначального доступа.

Исследователи полагают, что одной из причин, способствовавших закрытию в этом году нескольких RaaS-операций с использованием программ-вымогателей (Babuk, DarkSide, BlackMatter, REvil, Avaddon), являлся низкий уровень доступа (RDP, уязвимый VPN, некачественный спам) брокеров и продавцов первоначального доступа.

Группировка Conti, в состав которой входит по крайней мере один бывший член Ryuk, вместе с крупнейшим клиентом Emotet, TrickBot, попросили операторов Emotet вернуть проект к жизни.

Исследователи AdvIntel уверены, что как только Emotet разрастется и станет доминирующим игроком на кибервымогательской арене, Conti будет доставлять свою полезную нагрузку на атакуемые системы через него.

Темы:УгрозыботнетEmotetВымогатели
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...