En un desarrollo preocupante, el notorio malware Emotet ahora instala Cobalt Strike directamente, brindando acceso inmediato a la red a los actores de amenazas y haciendo inminentes los ataques de ransomware.
Emotet es una infección de malware que se propaga a través de correos electrónicos no deseados que contienen documentos maliciosos de Word o Excel. Estos documentos utilizan macros para descargar e instalar el troyano Emotet en la computadora de la víctima, que luego se usa para robar correo electrónico e implementar más malware en el dispositivo.
Históricamente, Emotet instalaba los troyanos TrickBot o Qbot en dispositivos infectados. Estos troyanos eventualmente desplegarían Cobalt Strike en un dispositivo infectado o realizarían otro comportamiento malicioso.
Cobalt Strike es un juego de herramientas de prueba de penetración legítimo que permite a los atacantes implementar "balizas" en dispositivos comprometidos para realizar vigilancia de red remota o ejecutar comandos adicionales.
Sin embargo, Cobalt Strike es muy popular entre los actores de amenazas que usan versiones crackeadas como parte de sus brechas de red y se usa comúnmente en ataques de ransomware.
Emotet cambia de táctica
Hoy, el grupo de investigación de Emotet Cryptolaemus advirtió que Emotet ahora se saltea su carga útil de malware principal de TrickBot o Qbot e instala directamente las balizas Cobalt Strike en los dispositivos infectados.
Una alerta flash compartida con BleepingComputer por la firma de seguridad de correo electrónico Cofense explicó que un número limitado de infecciones Emotet instalaron Cobalt Strike, intentaron contactar a un dominio remoto y luego se desinstalaron.
"Hoy, algunos equipos infectados recibieron un comando para instalar Cobalt Strike, una popular herramienta de pos-explotación", advierte Cofense Flash Alert.
"El propio Emotet recopila una cantidad limitada de información sobre una máquina infectada, pero Cobalt Strike se puede utilizar para evaluar una red o dominio más amplio, buscando potencialmente víctimas adecuadas para una mayor infección como ransomware".
"Mientras se ejecutaba la muestra de Cobalt Strike, intentó contactar con el dominio lartmana [.] Com. Poco después, Emotet desinstaló el ejecutable de Cobalt Strike".
Este es un cambio significativo en las tácticas, ya que después de que Emotet instaló su carga útil principal de TrickBot o Qbot, las víctimas generalmente tenían algo de tiempo para detectar la infección antes de que se implementara Cobalt Strike.
Ahora que se omiten estas cargas útiles iniciales de malware, los actores de amenazas tendrán acceso inmediato a una red para propagarse lateralmente, robar datos e implementar ransomware rápidamente.
"Esto es un gran problema. Por lo general, Emotet eliminó TrickBot o QakBot, que a su vez eliminó CobaltStrike. Por lo general, tendría aproximadamente un mes entre la primera infección y el ransomware. Con Emotet eliminando CS directamente, es probable que haya una demora mucho más corta, "El investigador de seguridad Marcus Hutchins tuiteó sobre el desarrollo.
Este rápido despliegue de Cobalt Strike probablemente acelerará el despliegue de ransomware en redes comprometidas. Esto es especialmente cierto para la banda de ransomware Conti que convenció a los operadores de Emotet para que se relanzaran después de que las fuerzas del orden los cerraran en enero.
Cofense dice que no está claro si se trata de una prueba, que Emotet está utilizando para su propia vigilancia de red o es parte de una cadena de ataque para otras familias de malware que se asocian con la botnet.
"Aún no sabemos si los operadores de Emotet tienen la intención de recopilar datos para su propio uso o si esto es parte de una cadena de ataque que pertenece a una de las otras familias de malware. Teniendo en cuenta la eliminación rápida, podría haber sido una prueba, o incluso involuntaria ". - Cofense.
Los investigadores seguirán de cerca este nuevo desarrollo y, a medida que haya más información disponible, actualizaremos este artículo.
0 Comentarios