Mentre la botnet è stata chiusa, gli operatori di ransomware hanno avuto difficoltà a trasferire i loro programmi sui sistemi delle vittime.
Chi ci segue ricorderà che ai primi dell’anno abbiamo parlato della botnet Emotet, di come è stata sgominata da Europol, ma ora sembra stia tornando a dare segni di vita. Come si è scoperto, l’ex operatore di botnet ha intrapreso il suo ripristino a causa dell’elevata domanda, in particolare dal gruppo di cyber ransomware Conti.
Secondo gli specialisti della società di sicurezza informatica Advanced Intelligence (AdvIntel), la ripresa del progetto, in particolare, è stata facilitata dalla mancanza di offerte sul mercato di accesso iniziale, sorto dopo la liquidazione di Emotet. Durante i dieci mesi in cui la botnet è stata chiusa, le operazioni di distribuzione decentralizzata di ransomware hanno avuto difficoltà a scaricare i loro programmi.
Poiché Emotet era uno dei tipi di malware più diffusi, svolgeva anche il ruolo di downloader per altri malware, fornendo agli operatori l’accesso iniziale ai sistemi infetti. In particolare, i principali client di Emotet erano Qbot e TrickBot, che scaricavano ransomware (Ryuk, Conti, ProLock, Egregor, DoppelPaymer, ecc.) sui computer sotto attacco.
Gli operatori di botnet fornivano un accesso iniziale su scala industriale, quindi molte operazioni dannose dipendevano da Emotet, in particolare dalla cosiddetta triade Emotet-TrickBot-Ryuk.
Ryuk è il predecessore del ransomware Conti, che ha iniziato a crescere in attività lo scorso anno dopo che l’attività di Ryuk è diminuita.
Secondo i ricercatori di AdvIntel, dopo aver disabilitato Emotet, i principali gruppi di cyber ransomware come Conti (scaricati tramite TrickBot e BazarLoader) e DoppelPaymer (scaricati tramite Dridex) sono rimasti senza una fonte di accesso iniziale qualificata.
I ricercatori ritengono che uno dei motivi alla base della chiusura quest’anno di diverse operazioni RaaS che utilizzano ransomware (Babuk, DarkSide, BlackMatter, REvil, Avaddon) sia stato il basso livello di accesso (RDP, VPN vulnerabile, spam di bassa qualità) di broker e commercianti.
Il gruppo ransomware Conti, che comprende almeno un ex membro di Ryuk, insieme al più grande cliente di Emotet, TrickBot, ha chiesto agli operatori di Emotet di riportare in vita il progetto.
Conti è in difficoltà
Il gruppo di ransomware informatico Conti inoltre, è stato vittima di una violazione dei dati dopo che i ricercatori della sicurezza sono riusciti a stabilire il vero indirizzo IP di uno dei suoi server più importanti e a mantenere l’accesso della console al sistema per più di un mese.
Il server compromesso è il luogo in cui Conti discute i pagamenti del riscatto con le sue vittime.
“Il nostro team ha scoperto una vulnerabilità nei server di ripristino di Conti e l’ha utilizzata per determinare i veri indirizzi IP di un servizio nascosto ospitato sul sito di ripristino”, secondo un rapporto di 37 pagine della società di sicurezza informatica svizzera Prodaft.
Si tratta dell’indirizzo IP 217.12.204.135, che appartiene alla società di hosting ucraina ITL LLC. Nel giro di un mese, gli specialisti Prodaft hanno avuto accesso a questo server, che ha permesso loro di monitorare il traffico di rete.
Sebbene la maggior parte delle connessioni al server provengano dalle vittime di Conti, sono state registrate anche connessioni SSH, apparentemente correlate a Conti stesso. Tuttavia, la fortuna non è stata dalla parte dei ricercatori qui, poiché gli indirizzi IP SSH appartenevano ai nodi di uscita di Tor. In altre parole, non potevano essere utilizzati per identificare gli operatori dietro Conti.
Altre preziose informazioni fornite nel rapporto includono anche informazioni sul sistema operativo del server di Conti e il suo file htpasswd, che contiene la password con hash per accedere al server.
Dopo la pubblicazione, il rapporto ha immediatamente catturato l’attenzione del gruppo. Era particolarmente preoccupata per la pubblicazione dell’indirizzo IP del server e dell’hash della password per accedervi, poiché i gruppi di ransomware in competizione con Conti avrebbero potuto approfittare di queste informazioni. Alla fine ha dovuto chiudere il suo portale di pagamento per trovare un nuovo hosting, il che ha impedito alle vittime di tutto il mondo di contattare il ransomware e ha dovuto subire tempi di inattività prolungati.
I ricercatori di AdvIntel pensano che una volta che Emotet crescerà e diventerà il player dominante nell’arena del cyber ransomware, Conti fornirà il suo payload ai sistemi attaccati attraverso questo malware, non c’è modo di pensare diversamente, accadrà quasi sicuramente questo scenario.