L'uso combinato di Conti ed Emotet per diversi attacchi ransomware è ben documentato, come dimostra la ricerca di Intel 417, senza dimenticare TrickBot, una piattaforma malware ora capace di infettare anche sistemi Linux.
Questa relazione viene ulteriormente evidenziata da Intel 417, che mostra quanta interdipendenza ci sia fra chi usa Conti per i propri attacchi ed Emotet. Monitorando le campagne di quest'ultima piattaforma malware, infatti, i ricercatori hanno ricavato diverse informazioni e hanno ottenuto un quadro più preciso di come i cybercriminali utilizzino Emotet insieme a Conti.
Analizzando gli attacchi ransomware confermati dal 25 dicembre 2021 al 25 marzo 2022, i ricercatori hanno scoperto decine e decine di vittime del malspam Emotet. La stima, tuttavia, non tiene conto delle potenziali vittime che hanno deciso di pagare il riscatto per mantenere l'anonimato e di quelle che non vengono elencate negli annunci da parte dei gruppi responsabili, di conseguenza, il numero potrebbe essere ben maggiore.
Quello che emerge è che, sebbene Emotet sia collegabile sia a TrickBot che a Conti, la "leadership" responsabile del malspam non è lo stesso. Mentre TrickBot e Conti appartengono allo stesso "contenitore" (con Conti che ha acquisito TrickBot all'inizio dell'anno), Emotet è indipendente e le sue operazioni hanno una portata massiccia, con alcune componenti automatizzate.
Al contrario, gli affiliati di Conti sfruttano Emotet per l'accesso iniziale, utilizzando i dati estratti per scegliere i bersagli successivi. In ogni caso gli attacchi a catena vedono l'interdipendenza di queste realtà criminali, soprattutto nel revival di Emotet osservato da Intel 471 già da novembre 2021. L'aspetto più interessante, però, è Conti sembra essere gestita sul modello di un'azienda legittima, come mostrato dai famosi Conti Leaks. Infine, sempre secondo Intel 471m la presenza di Emotet nei sistemi di un'organizzazione bersaglio indica un'elevatissima probabilità di un successivo attacco ransomware, di conseguenza, le aziende devono adottare un atteggiamento preventivo e proattivo nei confronti di Emotet.
