Les gangs de ransomware Quantum et BlackCat s'attaquent aux organisations avec le botnet Emotet

Selon les chercheurs en sécurité d'AdvIntel, les gangs de ransomware tels que Quantum et BlackCat utilisent désormais le malware Emotet dans leurs attaques.

Emotet a commencé comme un cheval de Troie bancaire en 2014 et, bien qu'il se soit transformé au fil des ans en un botnet sophistiqué, il a été étroitement associé au gang du ransomware Conti.

La fonctionnalité d'Emotet permet d'éviter la détection par certains produits anti-malware. Emotet utilise des capacités de type ver pour se propager à d'autres ordinateurs connectés.

Emotet est un cheval de Troie qui est principalement distribué par le biais de courriers électroniques non sollicités et qui peut déclencher l'infection par des scripts malveillants, des fichiers de documents contenant des macros ou des liens malveillants.

"De novembre 2021 à la dissolution de Conti en juin 2022, Emotet était un outil de ransomware exclusif de Conti, cependant, la chaîne d'infection d'Emotet est actuellement attribuée à Quantum et BlackCat", a déclaré AdvIntel dans un avis.

On pense que les membres du gang de ransomware Conti, désormais dissous, font partie d'autres gangs de ransomware tels que BlackCat et Hive ou de groupes indépendants qui se concentrent sur l'extorsion de données et d'autres entreprises criminelles.

Selon AdvIntel, plus de 1 267 000 infections par Emotet ont été observées dans le monde depuis le début de l'année, avec des pics d'activité enregistrés en février et mars. Les séquences d'attaque typiques comprennent l'utilisation d'Emotet (alias SpmTools) comme premier vecteur d'accès pour déposer Cobalt Strike, qui est ensuite utilisé comme outil de post-exploitation pour les opérations de ransomware.

Une deuxième augmentation, attribuée à Quantum et BlackCat, a eu lieu entre juin et juillet. Les données montrent que les États-Unis, la Finlande, le Brésil, les Pays-Bas et la France figurent parmi les pays les plus ciblés par Emotet.

Emotet est désormais utilisé pour diffuser d'autres chevaux de Troie bancaires. Les premières versions d'Emotet ont été utilisées pour attaquer des clients de banques en Allemagne, tandis que les versions ultérieures d'Emotet ont visé des organisations au Canada, au Royaume-Uni et aux États-Unis.

Voici des conseils pour protéger les utilisateurs d'Emotet

1. Maintenez les ordinateurs/points terminaux à jour avec les derniers correctifs.

2. Ne téléchargez pas de pièces jointes suspectes et ne cliquez pas sur un lien douteux.

3. Formation des utilisateurs à la création de mots de passe forts.

4. Un solide programme de cybersécurité.

Les sources de cet article comprennent un article de BleepingComputer.