Emotet es un malware diseñado para evitar ser detectado, atacar fuerte y multiplicarse. Todo ello gracias a numerosas actualizaciones, un diseño polimórfico y modular, y su habilidad para desarrollar diferentes ataques contra diferentes víctimas. Por lo que nos encontramos ante una amenaza cambiante para los administradores de sistemas.
Durante sus cinco años de vida, Emotet ha evolucionado de un troyano que roba silenciosamente las credenciales bancarias de sus víctimas a una plataforma muy sofisticada y ampliamente utilizada para distribuir otros tipos de malware, principalmente otros troyanos bancarios.
Emotet llega en campañas maliciosas de spam e instala cualquier malware que pague su tarifa. En lo que llevamos este año, eso significa los troyanos bancarios TrickBot y QBot, aunque también ha sido relacionado con BitPaymer (un sofisticado ransomware que demanda pagos de seis cifras).
En julio de 2018, el US-CERT (Equipo de Emergencia Informáticas de EEUU) publicaron una alerta sobre Emotet en la que lo describían como:
…entre el malware que provoca más gastos y destrucción que afecta a los distintos gobiernos. Sus características similares a los gusanos provocan una infección rápida de la red que es difícil de combatir. Las infecciones de Emotet han costado a los distintos gobiernos hasta un millón de dólares para solucionarlos.
Emotet continúa siendo una amenaza extremadamente potente in-the-wild, y gestionarla es uno de los desafíos más difíciles para los administradores y cazadores de amenazas.
Con todo esto en mente, nos hemos reunido con Peter Mackenzie, especialista en malware global de Sophos, para descubrir lo que hemos aprendido de los ataques de Emotet:
Asegura todas las máquinas
Prevenir es mejor que curar y una de las mejores medidas de prevención es comprobar que no hay ninguna máquina sin proteger en la red local. Según Peter:
Sistemáticamente cuando una organización se ve afectada por Emotet, el origen de la infección es una máquina si proteger en la red. Los clientes muchas veces desconocen la existencia de esos dispositivos.
Se puede utilizar una herramienta de escaneado de red gratuita para obtener una lista de cada dispositivo activo en la red y comparar los que están en la consola de gestión de seguridad. Si encuentras algún dispositivo desconocido, actualízalo y ejecuta algún programa antimalware actualizado inmediatamente.
Las máquinas desconocidas y sin proteger también ofrecen a Emotet un lugar donde esconderse y adaptarse, complicando mucho la situación.
Aunque esté aislado en una máquina sin proteger por el software de seguridad de las otras máquinas, estará continuamente intentado saltar a las demás. Y dado que es polimórfico y se actualiza constantemente (incluso múltiples veces en un día), y su ataque puede variar en un abrir y cerrar de ojos, siempre presenta un nuevo desafío que intentará encontrar un hueco por donde colarse.
Es imposible saber cuánto tiempo tardará en encontrar ese hueco pero es crucial una defensa robusta con funciones avanzadas como deep learning, prevención de exploit y EDR que ofrecen una significativa ventaja a la hora de contener el ataque y encontrar la fuente,
La importancia de las actualizaciones
Emotet es una puerta de entrada para otros tipos de malware, por lo que frenar Emotet no solo significa pararlo, si no también todo lo que puede venir con él. Dado que no se sabe lo que puede ser, debes tomar las mejores medidas para protegerte. La primera de la lista es parchear las vulnerabilidades conocidas.
Puede que parezca algo de otra época, pero está en la lista por meritos propios. En el mundo real, software no actualizado hace que los ataques de Emotet sean más destructivos y difíciles de contener.
Por ejemplo piensa en EternalBlue, el famoso exploit de 2017 conocido por WannaCry y NotPetya. Increíblemente, dos años después de que existan actualizaciones y pese a todos los titulares, sigue siendo un malware rentable, como lo demuestra TrickBot, el malware que más distribuido por Emotet.
Bloquea PowerShell por defecto
Emotet normalmente llega en correos electrónicos con ficheros adjuntos maliciosos, comenzando el ataque de la siguiente manera:
- Un usuario recibe un correo con fichero Word adjunto.
- El usuario abre el documento y se le engaña para que ejecute un macro.
- El macro dispara PowerShell que descarga Emotet.
- Comienza la infección de Emotet.
Obviamente, un usuario tiene que hacer un par de cosas mal para que Emotet logre sus objetivos, por lo que quizás es una buena opción formar al personal para que no abra ficheros sospechosos. Otro punto que los administradores sí pueden implementar fácilmente, y que es igual de eficaz, es bloquear el acceso de los usuarios a PowerShell por defecto.
No quiere decir que todos lo tengan bloqueado, posiblemente a algunos no les haga falta, pero primero se bloquea a todos y después se dará permiso a los que realmente lo necesiten. Y nos referimos realmente a bloquearlo, no simplemente a crear una norma de bloqueo, ya que estas se pueden saltar.
Si necesitas más información, hemos creado un artículo en nuestra Knowledge Base para nuestros clientes: Resolving outbreaks of Emotet and TrickBot malware.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario