Emotet abandonne désormais Cobalt Strike, avance rapidement les attaques de ransomware

Emotet

Dans un développement préoccupant, le célèbre malware Emotet installe désormais directement les balises Cobalt Strike, donnant un accès réseau immédiat aux acteurs de la menace et rendant les attaques de ransomware imminentes.

Emotet est une infection malveillante qui se propage par le biais de courriers indésirables contenant des documents Word ou Excel malveillants. Ces documents utilisent des macros pour télécharger et installer le cheval de Troie Emotet sur l’ordinateur d’une victime, qui est ensuite utilisé pour voler des e-mails et déployer d’autres logiciels malveillants sur l’appareil.

Historiquement, Emotet installait les chevaux de Troie TrickBot ou Qbot sur les appareils infectés. Ces chevaux de Troie finiraient par déployer Cobalt Strike sur un appareil infecté ou effectueraient d’autres comportements malveillants.

Cobalt Strike est une boîte à outils de test d’intrusion légitime qui permet aux attaquants de déployer des « balises » sur des appareils compromis pour effectuer une surveillance réseau à distance ou exécuter d’autres commandes.

Cependant, Cobalt Strike est très populaire parmi les acteurs de la menace qui utilisent des versions crackées dans le cadre de leurs violations de réseau et est couramment utilisé dans les attaques de ransomware.

Emotet change de tactique

Aujourd’hui, le groupe de recherche Emotet Cryptolaemus a averti qu’Emotet saute maintenant sa principale charge utile de malware de TrickBot ou Qbot et installe directement les balises Cobalt Strike sur les appareils infectés.

Une alerte flash partagée avec EZpublish-france.fr par la société de sécurité de messagerie Cofense a expliqué qu’un nombre limité d’infections Emotet ont installé Cobalt Strike, tenté de contacter un domaine distant, puis a été désinstallé.

« Aujourd’hui, certains ordinateurs infectés ont reçu une commande pour installer Cobalt Strike, un outil de post-exploitation populaire », prévient le Cofense Flash Alert.

« Emotet lui-même rassemble une quantité limitée d’informations sur une machine infectée, mais Cobalt Strike peut être utilisé pour évaluer un réseau ou un domaine plus large, potentiellement à la recherche de victimes appropriées pour une infection ultérieure telle qu’un ransomware. »

« Pendant que l’échantillon Cobalt Strike était en cours d’exécution, il a tenté de contacter le domaine lartmana[.]com. Peu de temps après, Emotet a désinstallé l’exécutable Cobalt Strike. »

Il s’agit d’un changement important de tactique, car après qu’Emotet ait installé sa charge utile principale de TrickBot ou Qbot, les victimes avaient généralement un certain temps pour détecter l’infection avant le déploiement de Cobalt Strike.

Maintenant que ces charges utiles initiales de logiciels malveillants sont ignorées, les acteurs malveillants auront un accès immédiat à un réseau pour se propager latéralement, voler des données et déployer rapidement des ransomwares.

« C’est un gros problème. Typiquement, Emotet a abandonné TrickBot ou QakBot, qui à son tour a abandonné CobaltStrike. Vous auriez généralement environ un mois entre la première infection et le ransomware. Avec Emotet abandonnant CS directement, il y aura probablement un délai beaucoup plus court,  » Marcus Hutchins, chercheur en sécurité tweeté sur le développement.

Ce déploiement rapide de Cobalt Strike accélérera probablement le déploiement des ransomwares sur les réseaux compromis. Cela est particulièrement vrai pour le gang de ransomware Conti qui a convaincu les opérateurs Emotet de se relancer après leur fermeture par les forces de l’ordre en janvier.

Cofense dit qu’il n’est pas clair s’il s’agit d’un test, utilisé par Emotet pour sa propre surveillance de réseau, ou s’il fait partie d’une chaîne d’attaque pour d’autres familles de logiciels malveillants qui s’associent au botnet.

« Nous ne savons pas encore si les opérateurs Emotet ont l’intention de collecter des données pour leur propre usage, ou si cela fait partie d’une chaîne d’attaque appartenant à l’une des autres familles de malwares. Compte tenu de la suppression rapide, cela aurait pu être un test, ou même involontaire. » – Cofense.

Les chercheurs suivront de près ce nouveau développement et, au fur et à mesure que de nouvelles informations seront disponibles, nous mettrons à jour cet article.