I ricercatori di sicurezza di AdvIntel hanno scoperto che la botnet Emotet viene attualmente sfruttata per distribuire i ransomware BlackCat e Quantum. Gli omonimi gruppi di cybercriminali sono nati dallo smantellamento di Conti e la creazione di varie gang formati da ex membri. Proprio il gruppo Conti aveva ripristinato l’infrastruttura di Emotet dopo l’intervento di Europol.
Emotet distribuisce BlackCat e Quantum
Gli esperti di AdvIntel hanno rilevato quasi 1,3 milioni di infezioni con Emotet nel 2022. La botnet è stata originariamente sviluppata come trojan bancario in grado di intercettare le credenziali di login ai conti correnti. Nel corso degli anni è stata aggiornata più volte e oggi viene sfruttata principalmente come dropper o downloader per un beacon di Cobalt Strike che permette di distribuire i ransomware.
L’accesso iniziale ai computer delle vittime avviene tramite un attacco di phishing, ad esempio tramite l’invio di file LNK (in precedenza anche tramite macro di Office). Le tecniche usate da Emotet sono molteplici e in costante aggiornamento (a fine aprile c’è stato il passaggio a 64 bit). Non mancano ovviamente le tattiche di persistenza (avvio automatico) ed evasione (per sfuggire agli antivirus).
Fortunatamente la diffusione di Emotet è in diminuzione (secondo i dati di Check Point Research). In ogni caso è fortemente consigliata l’installazione di una soluzione di sicurezza che rileva e blocca i tentativi di phishing e i ransomware.