in

Emotet ahora lanza Cobalt Strike y reenvía rápidamente los ataques de ransomware


Emotet

En un desarrollo preocupante, el infame malware Emotet ahora está instalando Cobalt Strike Beacons directamente, brindando a los actores de amenazas acceso instantáneo a la red y haciendo inminentes los ataques de ransomware.

Emotet es una infección de malware que se propaga a través de correos electrónicos no deseados que contienen documentos maliciosos de Word o Excel. Estos documentos usan macros para descargar el troyano Emotet e instalarlo en la computadora de la víctima, que luego se usa para robar correo electrónico y distribuir malware adicional en el dispositivo.

En el pasado, Emotet instaló los troyanos TrickBot o Qbot en dispositivos infectados. Estos troyanos eventualmente desplegarían Cobalt Strike en un dispositivo infectado o realizarían algún otro comportamiento malicioso.

Cobalt Strike es un juego de herramientas de prueba de penetración legítimo que permite a los atacantes usar «balizas» en dispositivos comprometidos para realizar un monitoreo de red remoto o ejecutar otros comandos.

Sin embargo, Cobalt Strike es muy popular entre los actores de amenazas que usan versiones crackeadas como parte de sus brechas de red y se usa ampliamente en ataques de ransomware.

Emotet cambia de táctica

Hoy, Emotet Research Group Cryptolemus advirtió que Emotet ahora se saltea su carga útil de malware principal, TrickBot o Qbot, e instala balizas Cobalt Strike directamente en los dispositivos infectados.

Una advertencia flash emitida por BleepingComputer por la firma de seguridad de correo electrónico Cofense indicó que un número limitado de infecciones de Emotet instalaron Cobalt Strike, intentaron contactar a un dominio remoto y luego lo desinstalaron.

«Hoy se ordenó a algunas computadoras infectadas que instalaran Cobalt Strike, una popular herramienta anti-explotación», advierte Cofense Flash Alert.

«El propio Emotet recopila una cantidad limitada de información sobre una computadora infectada, pero Cobalt Strike puede usarse para evaluar una red o dominio más amplio y posiblemente buscar víctimas adecuadas para otra infección como ransomware».

«Mientras la sonda Cobalt Strike estaba en progreso, se intentó contactar con el dominio lartmana[.]com. Poco después, Emotet desinstaló el ejecutable Cobalt Strike «.

Este es un cambio significativo en las tácticas, ya que una vez que se instaló la carga útil principal de TrickBot o Emotet Qbot, las víctimas generalmente tenían algo de tiempo para detectar la infección antes de que se implementara Cobalt Strike.

Con estas cargas útiles iniciales de malware ahora omitidas, los actores de amenazas tienen acceso instantáneo a una red para propagarse de manera lateral, robar datos e implementar ransomware rápidamente.

«Este es un gran problema. Por lo general, Emotet eliminó TrickBot o QakBot, que a su vez eliminó CobaltStrike. Por lo general, tiene aproximadamente un mes entre la primera infección y el ransomware. Si Emotet abandona CS de inmediato, es probable que el retraso sea mucho más breve. «El investigador de seguridad Marcus Hutchins tuiteó sobre el desarrollo.

Es probable que este rápido despliegue de Cobalt Strike acelere el despliegue de ransomware en redes comprometidas. Esto se aplica en particular a la banda de ransomware Conti, que convenció a los operadores de Emotet de reiniciar después de su cierre por parte de las autoridades policiales en enero.

Según Cofense, no está claro si se trata de una prueba utilizada por Emotet para el monitoreo de su propia red o si es parte de una cadena de ataques para otras familias de malware que están trabajando con la botnet.

“Aún no sabemos si los operadores de Emotet tienen la intención de recopilar datos para su propio uso o si esto es parte de una cadena de ataques de alguna de las otras familias de malware. Dada la rápida eliminación, podría haber sido una prueba, o incluso accidental «. – Café.

Los investigadores seguirán de cerca este nuevo desarrollo y actualizaremos este artículo a medida que haya más información disponible.



What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Google rompe la botnet que apunta a las computadoras con Windows

Los 5 mejores generadores de voz de IA para uso comercial y personal