دژافزار Emotet اکنون پس از بازنشستگی رسمی Conti از چشمانداز تهدید در سال جاری[۱]، توسط گروههای باجافزاری بهعنوان سرویس (RaaS) ازجمله Quantum و BlackCat مورداستفاده قرار میگیرد.
Emotet بهعنوان یک تروجان بانکی در سال ۲۰۱۴ شروع به کار کرد[۲]، اما بهروزرسانیهایی که بهمرورزمان به آن اضافه شد، این دژافزار را به یک تهدید بسیار قوی تبدیل کرد که میتواند بارهای دیگر را روی دستگاه قربانی بارگیری کند، که به مهاجم اجازه میدهد آن را از راه دور کنترل کند.
اگرچه زیرساخت مرتبط با بارگذاری این دژافزار تهاجمی بهعنوان بخشی از تلاشهای اجرای قانون در ژانویه ۲۰۲۱ حذف شد، گفته میشود که کارتل باج افزار Conti نقش مهمی[۳] در بازگشت آن در اواخر سال گذشته داشته است.
AdvIntel در گزارشی که هفته گذشته منتشر شد گفت[۴]: «از نوامبر ۲۰۲۱ تا ازهمپاشیدگی Conti در ژوئن ۲۰۲۲، Emotet یک ابزار باج افزار انحصاری Conti بود، بااینحال، زنجیره آلودگی Emotet در حال حاضر به Quantum و BlackCat نسبت داده میشود.
توالیهای حمله معمولی مستلزم استفاده از Emotet (معروف به SpmTools) بهعنوان یک بردار دسترسی اولیه برای حذف Cobalt Strike است که سپس بهعنوان ابزاری پس از بهرهبرداری برای عملیات باج افزاری استفاده میشود.
باند بدنام باج افزاری Conti ممکن است منحل شده باشد، اما چندین نفر از اعضای آن بهعنوان بخشی از سایر خدمه باج افزاری مانند [۵]BlackCat و [۶]Hive یا بهعنوان گروههای مستقل متمرکز بر اخاذی دادهها[۷] و سایر تلاشهای مجرمانه مانند همیشه فعال هستند.
کوانتوم همچنین یک گروه اسپینآف Conti است که در ماههای گذشته به تکنیک call-back-phishing – با نام BazaCall یا BazarCall – بهعنوان ابزاری برای نفوذ به شبکههای هدفمند متوسل شده است[۸].
Recorded Future در گزارشی که ماه گذشته منتشر شد خاطرنشان کرد[۹]: «وابستههای Conti از انواع بردارهای دسترسی اولیه ازجمله فیشینگ، اعتبارنامههای در معرض خطر، توزیع دژافزار و بهرهبرداری از آسیبپذیریها استفاده میکنند.»
AdvIntel گفت که بیش از ۱,۲۶۷,۰۰۰ آلودگی Emotet را از ابتدای سال در سراسر جهان مشاهده کرده است که اوج فعالیت در فوریه و مارس همزمان با تهاجم روسیه به اوکراین ثبت شده است.
دومین افزایش آلودگی بین ژوئن و جولای به دلیل استفاده گروههای باجافزاری مانند Quantum و BlackCat رخ داد. دادههای جمعآوریشده توسط این شرکت امنیت سایبری نشان میدهد که بیشترین کشور هدف Emotet، ایالاتمتحده است و پسازآن فنلاند، برزیل، هلند و فرانسه قرار دارند.
ESET قبلاً جهش ۱۰۰ برابری در تشخیص Emotet در چهار ماه اول سال ۲۰۲۲ در مقایسه با چهار ماه قبل از سپتامبر تا دسامبر ۲۰۲۱ گزارش کرده بود[۱۰].
بر اساس گزارش شرکت امنیت سایبری Check Point، Emotet در فهرست رایجترین دژافزارها برای اوت ۲۰۲۲ از جایگاه اول به پنجم سقوط کرد[۱۱] و پس از FormBook، Agent Tesla، XMRig و GuLoader قرار گرفت.
منابع
[۱] https://thehackernews.com/2022/05/conti-ransomware-gang-shut-down-after.html
[۲] https://thehackernews.com/2022/06/new-emotet-variant-stealing-users.html
[۳] https://thehackernews.com/2022/03/emotet-botnets-latest-resurgence.html
[۴] https://advintel.io/post/advintel-s-state-of-emotet-aka-spmtools-displays-over-million-compromised-machines-through-2022
[۵] https://thehackernews.com/2022/06/blackcat-ransomware-gang-targeting.html
[۶] https://thehackernews.com/2022/07/hive-ransomware-upgrades-to-rust-for.html
[۷] https://thehackernews.com/2022/04/gold-ulrick-hackers-still-in-action.html
[۸] https://thehackernews.com/2022/08/conti-cybercrime-cartel-using-bazarcall.html
[۹] https://www.recordedfuture.com/initial-access-brokers-key-to-rise-in-ransomware-attacks
[۱۰] https://thehackernews.com/2022/06/new-emotet-variant-stealing-users.html
[۱۱] https://www.checkpoint.com/press-releases/augusts-top-malware-emotet-knocked-off-top-spot-by-formbook-while-guloader-and-joker-disrupt-the-index
[۱۲] https://thehackernews.com/2022/09/microsofts-latest-security-update-fixes.html
ثبت ديدگاه