Emotet ahora instala balizas Cobalt Strike

Emotet installs Cobalt Strike

Los investigadores advierten que Emotet ahora instala directamente balizas Cobalt Strike en sistemas infectados, Proporcionar acceso inmediato a la red para los atacantes.. Aquellos pueden usarlo para movimiento lateral., lo que facilitará enormemente los ataques de extorsión.

Permítanme recordarles que normalmente Emotet instala el malware TrickBot o Qbot en las máquinas de la víctima., y ese ya implementa Cobalt Strike y realiza otras acciones maliciosas. Ahora, El grupo de investigación Cryptolaemus ha advertido que Emotet se salta la instalación de TrickBot o Qbot e instala directamente balizas Cobalt Strike en dispositivos infectados.

criptoleo es un grupo de más de 20 especialistas en seguridad de la información de todo el mundo, quienes se unieron nuevamente en 2018 por un objetivo común – para luchar contra el malware Emotet.

Esta informacion fue confirmado a los periodistas de Bleeping Computer por parte de los especialistas de la empresa de seguridad de la información Cofense.

Algunas de las computadoras infectadas recibieron instrucciones de instalar Cobalt Strike, una herramienta popular post-explotación. El propio Emotet recopila una cantidad limitada de información sobre la máquina infectada, pero Cobalt Strike se puede utilizar para evaluar una red más amplia o una evaluación de dominio, buscando víctimas adecuadas para una mayor infección, como ransomware.los expertos dicen.

Mientras Cobalt Strike intentaba contactar con lartmana[.]dominio com, y poco después, Emotet estaba eliminando el ejecutable Cobalt Strike.»

De hecho, Esto significa que los atacantes ahora tienen acceso inmediato a la red para realizar movimientos laterales., robo de datos, y rápida implementación de ransomware. Se espera que la rápida implementación de Cobalt Strike también acelere la implementación de ransomware en redes comprometidas..

es muy serio. Generalmente, Emotet restablecerá el TrickBot o QakBot, que a su vez restablecerá el CobaltStrike. En una situación normal, Tienes aproximadamente un mes entre la primera infección y la extorsión.. Con Emotet soltando CS directamente, Es probable que este retraso sea mucho más corto..El especialista en seguridad Markus Hutchins advierte en Twitter.

Expertos en defensa, a su vez, informa que aún no está claro si lo que está sucediendo es una prueba de los propios operadores de Emotet, o si forma parte de una cadena de ataques de otro malware que coopera con la botnet.

Aún no sabemos si los operadores de Emotet tienen la intención de recopilar los datos para su propio uso., o si es parte de una cadena de ataques pertenecientes a alguna de las otras familias de malware. Dada la rápida eliminación, podría haber sido una prueba, o incluso un accidente.los expertos resumen, prometiendo continuar monitoreando más.

Déjame recordarte que también informé que El troyano Emotet intenta propagarse a través de las redes Wi-Fi disponibles.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *