Emotet kötü amaçlı yazılımı, Conti’nin bu yıl tehdit ortamından resmi olarak emekli olmasının ardından, Quantum ve BlackCat dahil olmak üzere hizmet olarak fidye yazılımı (RaaS) grupları tarafından kullanılıyor.
Emotet, 2014 yılında bir bankacılık truva atı olarak başladı, ancak zamanla eklenen güncellemeler, kötü amaçlı yazılımı, kurbanın makinesine başka yükleri indirebilen ve saldırganın uzaktan kontrol etmesine olanak tanıyan oldukça güçlü bir tehdide dönüştürdü.
İstilacı kötü amaçlı yazılım yükleyiciyle ilişkili altyapı Ocak 2021’de bir yasa uygulama çabasının bir parçası olarak kaldırılmış olsa da, Conti fidye yazılımı kartelinin geçen yılın sonlarında geri dönüşünde önemli bir rol oynadığı söyleniyor.
AdvIntel, geçen hafta yayınlanan bir danışma belgesinde, “Kasım 2021’den Conti’nin Haziran 2022’deki feshine kadar Emotet, Conti’nin özel bir fidye yazılımı aracıydı, ancak Emotet enfeksiyon zinciri şu anda Quantum ve BlackCat’e atfediliyor.” Dedi.
Tipik saldırı dizileri, daha sonra fidye yazılımı operasyonları için bir sömürü sonrası araç olarak kullanılan Cobalt Strike’ı bırakmak için ilk erişim vektörü olarak Emotet’in (aka SpmTools) kullanılmasını gerektirir.
Kötü şöhretli Conti fidye yazılımı çetesi dağılmış olabilir, ancak üyelerinden bazıları, BlackCat ve Hive gibi diğer fidye yazılımı ekiplerinin bir parçası olarak veya veri gaspına ve diğer suç girişimlerine odaklanan bağımsız gruplar olarak her zamanki gibi aktif durumda.
Quantum ayrıca, aradan geçen aylarda hedeflenen ağları ihlal etmek için BazaCall veya BazarCall olarak adlandırılan geri arama kimlik avı tekniğine başvuran bir Conti yan kuruluşudur.
Recorded Future geçen ay yayınlanan bir raporda, “Conti iştirakleri, kimlik avı, güvenliği ihlal edilmiş kimlik bilgileri, kötü amaçlı yazılım dağıtımı ve güvenlik açıklarından yararlanma dahil olmak üzere çeşitli ilk erişim vektörleri kullanıyor” dedi.
AdvIntel, yılın başından bu yana dünya genelinde 1.267.000’den fazla Emotet enfeksiyonu gözlemlediğini ve Şubat ve Mart aylarında Rusya’nın Ukrayna’yı işgaliyle aynı zamana denk gelen aktivite zirveleri kaydettiğini söyledi.
Quantum ve BlackCat gibi fidye yazılımı gruplarının kullanımı nedeniyle, Haziran ve Temmuz ayları arasında enfeksiyonlarda ikinci bir artış meydana geldi. Siber güvenlik firması tarafından elde edilen veriler, en çok Emotet hedefli ülkenin ABD olduğunu ve onu Finlandiya, Brezilya, Hollanda ve Fransa’nın takip ettiğini gösteriyor.
ESET daha önce, 2022’nin ilk dört ayında Emotet algılamalarında Eylül ile Aralık 2021 arasındaki önceki dört aya kıyasla 100 kat artış bildirmişti.
İsrailli siber güvenlik şirketi Check Point’e göre Emotet, Ağustos 2022’de en yaygın kötü amaçlı yazılımlar listesinde FormBook, Agent Tesla, XMRig ve GuLoader’ın ardından birinci sıradan beşinci sıraya düştü.