Пока ботнет был отключен, операторы вымогательского ПО испытывали трудности с доставкой своих программ на системы.
https://www.securitylab.ru/upload/ib...74778f545a.png
Недавно SecurityLab сообщал о том, что ликвидированный Европолом в начале года ботнет Emotet снова начал подавать признаки жизни. Как оказалось, бывший оператор ботсети взялся за ее восстановление из-за высокого спроса, в особенности со стороны кибервымогательской группировки Conti.
По мнению специалистов ИБ-компании Advanced Intelligence (AdvIntel), возобновлению проекта в частности поспособствовало отсутствие предложений на рынке первоначального доступа, возникшее после ликвидации Emotet. В течение десяти месяцев, пока ботнет был отключен, децентрализованные операции по распространению вымогательского ПО испытывали трудности с загрузчиками своих программ.
Поскольку Emotet был одной из самых распространенных вредоносных программ, он также играл роль загрузчика для другого вредоносного ПО, обеспечивавшего его операторам первоначальный доступ к зараженным системам. В частности, основными клиентами Emotet были Qbot и TrickBot, загружавшие на атакуемые компьютеры вымогательское ПО (Ryuk, Conti, ProLock, Egregor, DoppelPaymer и пр.).
Операторы ботнета предоставляли первоначальный доступ в промышленном масштабе, поэтому от Emotet зависели многие вредоносные операции, особенно так называемая триада Emotet-TrickBot-Ryuk.
Ryuk является предшественником вымогателя Conti, активность которого стала расти в прошлом году после снижения активности Ryuk.
По словам исследователей из AdvIntel, после отключения Emotet топовые кибервымогательские группировки наподобие Conti (загружается через TrickBot и BazarLoader) и DoppelPaymer (загружается через Dridex) остались без качественного источника первоначального доступа.
Исследователи полагают, что одной из причин, способствовавших закрытию в этом году нескольких RaaS-операций с использованием программ-вымогателей (Babuk, DarkSide, BlackMatter, REvil, Avaddon), являлся низкий уровень доступа (RDP, уязвимый VPN, некачественный спам) брокеров и продавцов первоначального доступа.
Группировка Conti, в состав которой входит по крайней мере один бывший член Ryuk, вместе с крупнейшим клиентом Emotet, TrickBot, попросили операторов Emotet вернуть проект к жизни.
Исследователи AdvIntel уверены, что как только Emotet разрастется и станет доминирующим игроком на кибервымогательской арене, Conti будет доставлять свою полезную нагрузку на атакуемые системы через него.