Emotet agora instala beacons Cobalt Strike

Emotet installs Cobalt Strike

Os pesquisadores alertam que o Emotet agora instala beacons Cobalt Strike diretamente em sistemas infectados, fornecendo acesso imediato à rede para invasores. Aqueles podem usá-lo para movimento lateral, o que facilitará enormemente os ataques de extorsão.

Deixe-me lembrá-lo de que normalmente o Emotet instala malware TrickBot ou Qbot nas máquinas das vítimas, e aquele já implanta o Cobalt Strike e executa outras ações maliciosas. Agora, o grupo de pesquisa Cryptolaemus alertou que o Emotet ignora a instalação do TrickBot ou Qbot e instala beacons Cobalt Strike diretamente em dispositivos infectados.

Criptóleo é um grupo de mais de 20 especialistas em segurança da informação de todo o mundo, que se uniram de volta 2018 para um objetivo comum – para lutar contra o malware Emotet.

Essa informação foi confirmado aos jornalistas da Bleeping Computer pelos especialistas da empresa de segurança da informação Cofense.

Alguns dos computadores infectados foram instruídos a instalar o Cobalt Strike, uma ferramenta pós-exploração popular. O próprio Emotet coleta uma quantidade limitada de informações sobre a máquina infectada, mas o Cobalt Strike pode ser usado para avaliar uma rede mais ampla ou uma avaliação de domínio, procurando vítimas adequadas para novas infecções, como ransomware.Especialistas dizem.

Enquanto Cobalt Strike tentava entrar em contato com o lartmana[.]domínio com, e logo depois, Emotet estava excluindo o executável Cobalt Strike.”

Na verdade, isso significa que os invasores agora têm acesso imediato à rede para movimentação lateral, roubo de dados, e implantação rápida de ransomware. Espera-se que a rápida implantação do Cobalt Strike também acelere a implantação de ransomware em redes comprometidas.

É muito sério. Geralmente, Emotet irá redefinir o TrickBot ou QakBot, que por sua vez irá reiniciar o CobaltStrike. Em uma situação normal, você tem cerca de um mês entre a primeira infecção e a extorsão. Com o Emotet eliminando o CS diretamente, esse atraso provavelmente será muito menor.especialista em segurança Markus Hutchins alerta no Twitter.

Especialistas em Cofense, por sua vez, relatam que ainda não está claro se o que está acontecendo é um teste para os próprios operadores do Emotet, ou se fizer parte de uma cadeia de ataques de outro malware que coopera com o botnet.

Ainda não sabemos se os operadores do Emotet pretendem recolher os dados para uso próprio, ou se fizer parte de uma cadeia de ataques pertencentes a uma das outras famílias de malware. Dada a rápida remoção, poderia ter sido um teste, ou até mesmo um acidente.os especialistas resumem, prometendo continuar monitorando ainda mais.

Deixe-me lembrá-lo de que também relatei que Trojan Emotet está tentando se espalhar pelas redes Wi-Fi disponíveis.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *