Le botnet Emotet est de retour à la demande générale, ressuscité par son ancien opérateur, qui a été convaincu par des membres du gang de ransomware Conti.
Chercheurs en sécurité de la société de renseignement Advanced Intelligence (AdvIntel) pensent que le redémarrage du projet a été motivé par le vide laissé par Emotet lui-même sur le marché de l’accès initial de haute qualité après que les forces de l’ordre l’ont supprimé il y a dix mois.
La renaissance du botnet fait suite à une longue période de pénurie de chargeurs de logiciels malveillants et au déclin des opérations de ransomware décentralisées qui ont permis aux syndicats du crime organisé de se développer à nouveau.
Le ransomware Conti pourrait devenir dominant
Considéré comme le malware le plus largement distribué, Emotet a agi comme un chargeur de malware qui a fourni aux autres opérateurs de malware un accès initial aux systèmes infectés qui ont été évalués comme précieux.
Qbot et TrickBot, en particulier, étaient les principaux clients d’Emotet et utilisaient leur accès pour déployer des ransomwares (par exemple Ryuk, Conti, ProLock, Egregor, DoppelPaymer et autres).
« L’agilité stratégique, opérationnelle et tactique d’Emotet a été exécutée grâce à un système modulaire leur permettant d’adapter les fonctionnalités et la spécialisation de la charge utile aux besoins de clients spécifiques » – AdvIntel
Les opérateurs de botnet ont fourni un accès initial à une échelle industrielle, de sorte que de nombreuses opérations de malware dépendaient d’Emotet pour leurs attaques, en particulier celles de la triade Emotet-TrickBot-Ryuk.
Les chercheurs d’AdIntel affirment qu’une fois Emotet disparu de la scène, des groupes de cybercriminels de premier plan, comme Conti (chargé par TrickBot et BazarLoader) et DoppelPaymer (chargé par Dridex) se sont retrouvés sans option viable pour un accès initial de haute qualité.
« Cet écart entre l’offre et la demande rend la résurgence d’Emotet importante. Au fur et à mesure que ce botnet revient, il peut avoir un impact majeur sur l’ensemble de l’environnement de sécurité en comblant l’écart fondamental des groupes de ransomware » – AdvIntel
Les chercheurs pensent que l’une des raisons qui ont contribué à la fermeture de plusieurs opérations de ransomware en tant que service (RaaS) cette année (Babuk, DarkSide, BlackMatter, REvil, Avaddon) était que les affiliés utilisaient des vendeurs et des courtiers d’accès de bas niveau (RDP, VPN vulnérable, spam de mauvaise qualité).
Alors que les concurrents quittaient le secteur des ransomwares, les « groupes traditionnels » tels que Conti (anciennement Ryuk) et EvilCorp ont à nouveau gravi les échelons, attirant « les talentueux spécialistes des logiciels malveillants qui abandonnent massivement les RaaS dissous ».
Le groupe Conti, avec au moins un ancien membre de Ryuk à bord et en partenariat avec le plus gros client d’Emotet, TrickBot, était le mieux placé pour demander un retour aux opérateurs Emotet.
Les chercheurs d’AdIntel sont convaincus que le groupe Conti fournira sa charge utile à des cibles de grande valeur via Emotet une fois que le botnet se développera et deviendra un acteur dominant sur la scène des ransomwares.
Étant donné que les partenariats donnent les meilleurs résultats, comme l’a montré l’alliance Emotet-TrickBot-Ryuk en 2019 et 2020, une nouvelle triade pourrait bientôt dépasser les autres opérations, avec le ransomware Conti comme charge utile finale.