Emotet contournant TrickBot pour lâcher des balises de frappe au cobalt

À la mi-novembre 2021, le botnet Emotet a refait surface et a été largement rapporté. Le botnet avait été démantelé par les forces de l’ordre en janvier 2021 et était inactif depuis lors.

Dans la dernière mise à jour, il a été signalé qu’Emotet utilisait l’outil de test de pente Cobalt Strike pour lancer ses attaques de ransomware.

Les acteurs de la menace utilisant Emotet étaient connus pour utiliser TrickBot pour envoyer des chaînes de courriers indésirables contenant des pièces jointes et des liens malveillants. Dans le passé, TrickBot était à l’origine un cheval de Troie bancaire pour voler des informations financières sensibles via des attaques par force brute ou la collecte d’informations d’identification.

Dans une interaction antérieure avec CISO MAG, Lotem Finkelstein, directeur, Threat Intelligence and Research pour Check Point Software Technologies, a déclaré : « Emotet est responsable de l’explosion des ransomwares ciblés que nous avons vus au cours des trois dernières années et son retour pourrait conduire à une nouvelle augmentation de ces attaques. Il n’est pas surprenant que Trickbot et son infrastructure soient utilisés pour déployer le nouveau Emotet. Cela réduira non seulement le temps qu’il faudrait à Emotet pour s’implanter suffisamment dans les réseaux du monde entier, mais c’est aussi un signe que, comme autrefois, Trickbot et Emotet sont unis en tant que partenaires dans le crime.

Et maintenant, c’est l’outil Cobalt Strike qui est utilisé comme nouveau partenaire dans le crime. Il a été utilisé pour faciliter les attaques de ransomware par des groupes de menaces, et maintenant il contourne les chevaux de Troie comme TrickBot et accélère directement l’attaque.

Attention, nous voyons #Emotet nouveau #CobaltStrike balises sur les bots E4.
C2 : /guvonuk.com:443/static-directory/bn.png
Exemple : https://t.co/I1fEdZnh16
Configuration : https://t.co/slNVHR2iUO https://t.co/nzvOJWc9V9

– Cryptolaemus (@Cryptolaemus1) 8 décembre 2021

Cobalt Strike populaire auprès des cybercriminels

Cobalt Strike est un logiciel de simulation de menaces utilisé par des experts en sécurité et des testeurs d’intrusion pour identifier le risque potentiel de violation de données ou de cyberattaque. Plusieurs experts en sécurité ont déclaré que les acteurs de la menace exploitent l’outil Cobalt Strike pour les activités de cybercriminalité.

« Cobalt Strike, bien qu’utilisé par les praticiens de la sécurité pour finalement contrecarrer la cybercriminalité, est désormais un outil courant dans l’arsenal des cybercriminels. Pour l’instant, la plupart des acteurs de la menace s’appuient sur des méthodes open source pour le déploiement et la configuration, mais nous nous attendons à ce que les cybercriminels commencent à innover et à développer de nouvelles tactiques auxquelles les défenseurs devront s’adapter. Nous attendons ces innovations en particulier de la part des groupes de cybercriminels qui utilisent l’outil dans des attaques de ransomware ciblées », a déclaré un rapport d’Intel 471.

📌Emotet est le chargeur clé pour Conti, d’après nos connaissances, attendez-vous à plus d’Emotet, alimentant bientôt les ransomwares via la couche Cobalt Strike.

Voici l’introduction sur pourquoi/comment : https://t.co/mH1f0suSvZ https://t.co/P0ArRets1h

– Vitali Kremez (@VK_Intel) 6 décembre 2021

L’outil Cobalt Strike est utilisé pour supprimer des « balises » lorsqu’elles exécutent une surveillance à distance sur des réseaux infectés et peut être utilisé pour faciliter les attaques de ransomware.

Beacon est la charge utile de Cobalt Strike pour modéliser un acteur avancé. Beacon exécute des scripts PowerShell, enregistre les frappes, prend des captures d’écran, télécharge des fichiers et génère d’autres charges utiles.

Nous devons voir quelles nouvelles mesures les autorités mettront en œuvre pour assurer la perturbation du botnet Emotet, avant que d’autres nouvelles de ces attaques de ransomware alarmantes ne parviennent dans les médias grand public.