Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?

Emotet botnet comeback orchestrated by Conti ransomware gang

2021/11/19 BleepingComputer — ボットネット Emotet が復活した背景には、ランサムウェア Conti のメンバーに説得された、元オペレーターの存在があるという。Advanced Intelligence (AdvIntel) のセキュリティ研究者たちは、10ヶ月前に法執行機関が Emotet を停止した後に生じた、高品質なイニシャル・アクセス分野での空白が、このプロジェクトの再開を後押ししたと考えている。

このボットネットの復活は、マルウェア・ローダーの不足と、分散型ランサムウェア運用の衰退を受けたものであり、組織的犯罪シンジケートの再興を可能にするかもしれない。

ランサムウェア Conti が覇権を握る可能性

最も広く配布されたマルウェアとされる Emotet は、価値があるとされる標的システムへのイニシャル・アクセスを、他のマルウェア運用者に提供するマルウェア・ローダーとして機能してきた。特に Qbot と TrickBot は Emotet の重要な顧客であり、そのアクセスを利用して Ryuk/Conti/ProLock/Egregor/DoppelPaymer などのランサムウェアを展開してきた。

AdvIntel によると、Emotet の戦略/運用/戦術のアジリティは、特定の顧客のニーズに合わせてペイロードの機能や専門性を調整することができる、モジュラー・システムにより実行されていたとされる。

このボットネット運用者が、産業規模でイニシャル・アクセスを提供していたことで、多くのマルウェア運用者が Emotet に依存するかたちで攻撃を行ってきた。特に、Emotet-TrickBot-Ryuk の、3つのグループに属するマルウェア運用者が多かったようだ。

Ryuk は、ランサムウェア Conti の前身である。昨年に、Conti が活性化し、Ryuk の検出数が減少したときに、この切り替えが行われたとされる。両ランサムウェアの運営者は、医療や教育分野の組織を攻撃してきた、長い歴史を持っている。

AdvIntel の研究者たちによると、Emotet が姿を消した後に、Conti (TrickBot と BazarLoader が搭載されている) や、DoppelPaymer (Dridexが搭載されている) などの最先端のサイバー犯罪者グループは、高品質なイニシャル・アクセスのための選択肢を失ってしまったようだ。

AdvIntel は、「このような需要と供給の不一致から、Emotet の復活は重要な意味を持つ。このボットネットが復活すると、ランサムウェア・グループの根本的な問題が改善され、セキュリティ環境全体に大きな影響を与えることになる」と述べている。

研究者たちは、今年になって複数の RaaS (BabukDarkSideBlackMatterREvilAvaddon) が停止した原因の1つとして、アフェリエイトが低レベルのイニシャル・アクセス提供者やブローカー (RDP/脆弱な VPN/質の低いスパム) を使用したことを挙げている。

競合する勢力がランサムウェア・ビジネスから撤退したことで、Conti (旧 Ryuk) や EvilCorp などの伝統的なグループは、解散した RaaS から離脱した大量の有能なマルウェア専門家 を引きつけて、再びリードしはじめた。

Conti グループには、少なくとも一人の Ryuk の元メンバーが在籍しており、Emotet の最大の顧客である TrickBot と提携していることから、Emotet の運営者に復帰するうえで最も適した立場にあった。

Conti グループは、Emotet を成長させた後に、このボットネット介して高価値のターゲットにペイロードを配信し、ランサムウェア・シーンで支配的なプレーヤーになると、AdvIntel の研究者はたち確信している。

2019年と 2020年の Emotet-TrickBot-Ryuk の提携が示したように、最高のパートナーシップを実現するために、Conti ランサムウェアは最終的なペイロードの役割に専念し、すべてのオペレーションの上に立つ、新たな第三者が登場する日も近いのかもしれない。

昨日ですが、「Conti ランサムウェアが7月以降で稼いだ 30億円:その金の流れを追跡する」という記事をポストしたばかりです。8月の「Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した」と、9月の「Conti PlayBook 英訳版:ランサムウェアの手口が明らかに」を読むと、なんとなく弱体化しているイメージが有りましたが、しっかりと活動しているようです。そして、その経験と財力を活かして、こんどは Emotet を復活させようとしているようです。

%d bloggers like this: