Conti y Emotet: Packer como indicación de una nueva conexión

Debido a que alguien ha mirado cosas en las que nadie más está interesado, a veces surgen conexiones completamente nuevas y emocionantes. Este no es solo un motivo popular en las novelas policíacas, sino también en el análisis de malware. Por lo tanto, se reveló una posible conexión de Emotet con el Grupo Conti.

Si alguien te dice «No necesitas mirar allí, nada aparece de todos modos», y después de una mirada escrutadora llegas a la conclusión de que esto es cierto, ¿mirarías por segunda vez? Probablemente no, y eso es perfectamente normal. Pero a veces alguien todavía mira, incluso con plena conciencia de que nada ha cambiado en la inutilidad real de esta empresa.

Sin embargo, el analista de malware de G DATA, Luca Ebach, echó un vistazo a un empaquetador que sirve, entre otras cosas, para camuflar malware. Por qué en realidad no tiene sentido mirar en el empaquetador se explica rápidamente: para camuflar un malware, un empaquetador infla el malware e inserta un montón de tonterías digitales para disfrazar el malware. Llamadas a funciones innecesarias, datos que no contienen información, en resumen: basura digital. Y lo que hay en un empacador generalmente no tiene nada que ver con el empacador en sí. Por lo tanto, una mirada más cercana es inactiva y bastante inusual en el análisis de malware, porque fue una pérdida de tiempo. Pero a veces incluso la supuesta pérdida de tiempo puede resultar valiosa en retrospectiva.

Mehr als 27.800 neue Varianten von Emotet im ersten Halbjahr 2020 | G DATA

Comodidad y eficiencia

El análisis de malware requiere mucha automatización. Todo lo que no tiene que suceder a mano suele estar automatizado. Para llegar al núcleo de un malware, primero se debe eliminar el empaquetador, y esto a veces se puede hacer automáticamente con una pieza de software. Solo tienes que saber qué pertenece al empacador y qué no. Ya el año pasado, Ebach quería hacerse la vida un poco más fácil y trató de escribir un desempaquetador automático para una muestra de malware Emotet. Esto permitiría evitar un paso relativamente complejo en el que una muestra primero tendría que copiarse laboriosamente en una máquina virtual y luego desempaquetarse manualmente. Pero esto requirió una mirada al empaquetador, que generalmente no es efectivo en el análisis de malware.
Meses después, la semana pasada, otro analista quiso saber qué componente malicioso se descargó en una muestra actual y pidió un segundo par de ojos. Mirando en el empaquetador, resultó que había algunos paralelismos interesantes entre la muestra actual y la que Luca Ebach había estado trabajando.

Viejos conocidos

La reacción de Ebach: «¡Espera un minuto, lo he visto antes!» Y de hecho, ambas muestras utilizaron prácticamente el mismo empaquetador. Lo que Ebach había estado trabajando se volvió a cargar a partir de una muestra de Trickbot que apareció en noviembre de 2021. Lo interesante fue que el malware descargado de la muestra estaba, como resultó más tarde, con Emotet como un viejo conocido. Los creadores detrás de Trickbot ayudaron, como mostraron análisis posteriores, a ayudar al «rey del malware», que fue destronado a principios de 2021, a regresar del exilio forzado. Y mientras tanto, habían pasado muchas cosas. El comportamiento de Emotet fue diferente de lo habitual: en lugar de una amplia gama de diferentes rutinas maliciosas, Emotet solo cargó CobaltStrike. La muestra que se está examinando actualmente también provino de Emotet, y aquí también se pudo ver el mismo comportamiento y el mismo empaquetador.
El Grupo Conti ahora utiliza el mismo empaquetador que la conocida agrupación de delitos cibernéticos detrás de Emotet ha estado utilizando durante algún tiempo. Conti, por otro lado, ya tiene buenas conexiones con los patrocinadores de Trickbot.

Nuevas relaciones

Esto arroja una luz completamente nueva sobre algunas cosas. Porque Emotet era realmente conocido por recargar todo en rutinas de malware que los clientes de pago, como Trickbot, querían. Esto era generalmente ransomware, para lo cual Emotet abrió la puerta. El Grupo Conti, por otro lado, es más conocido por recopilar la mayor cantidad de información posible directamente con CobaltStrike, con el objetivo de desviar datos y ganar dinero después con una combinación de ransomware y amenazas de fugas. El hecho de que Emotet ahora solo cargue CobaltStrike permite suponer que algunas relaciones comerciales entre los grupos de ciberdelincuencia se están reagrupando aquí.

Los detalles técnicos y los antecedentes que llevan a esta conclusión se pueden encontrar en el blog de nuestros colegas de G DATA Advanced Analytics. (Artículo en inglés)

Enlace: Conti y Emotet: Conexiones interesantes | G DATOS (gdata.de) Blog de G DATA Tim Berghoff