Emotet
Productos y Servicios PRODUCTOS Y SERVICIOS

Europol desmantela Emotet, el “malware más peligroso del mundo”

No hace mucho, escribimos en Naked Security sobre un nuevo servicio de malware llamado Buer Loader.

La forma más sencilla de explicar lo que estaba haciendo los ciberdelincuentes detrás de  Buer Loader era simplemente decir: “Buer Loader es básicamente un nuevo competidor de Emotet”.

Si has estado informado sobre la evolución del malware en los últimos años, definitivamente habrás oído hablar de Emotet y sabrás lo que sucede con las víctimas de Emotet si este malware rompe sus defensas.

Esto se debe a que “lo que sucede a continuación” podría ser cualquier cosa del listado de delitos informáticos, porque Emotet es lo que se conoce como bot o zombi.

Un bot es malware que llama de forma regular y silenciosa a uno o más servidores de comando y control operados por los ciberdelincuentes, y busca instrucciones sobre qué hacer a continuación. (A menudo aparece el término “comando y control” abreviado como C&C o simplemente C2).

Algunos botherders, el nombre que se les da a los delincuentes a cargo de una red de zombies, conocida coloquialmente como botnet, usan los ordenadores zombies que controlan para sus propios fines criminales.

La delincuencia desencadenada por botnets incluye: envío masivo de spam, lanzar ataques distribuidos de denegación de servicio (DDoS) contra empresas o proveedores de servicios, perpetrar fraude de clics que involucre millones de clics en anuncios de apariencia legítima y mucho más.

Emotet es una botnet diferente

El equipo de Emotet, sin embargo, generalmente es un poco diferente. Normalmente, utilizan a los zombis bajo su control como una especie de red de distribución de contenido para otros ciberdelincuentes, ofreciendo lo que equivale a un servicio de pago por servicio para la distribución de malware.

La banda de Emotet hace el complicado trabajo de crear documentos con trampas peligrosas o enlaces web, elegir temas de correo electrónico atractivos basados ​​en temas candentes del día y engañar a las víctimas, con el fin de vender el acceso a ordenadores infectados a otros ciberdelincuentes para que estos no tengan que hacer nada del trabajo preliminar por sí mismos.

En la Navidad de 2019, por ejemplo, Emotet se hizo pasar por la activista climática Greta Thunberg, conocida mundialmente, con asuntos como:

Por favor ayuda a salvar el planeta
Greta
Los amigos ayudan
Apoya a Greta Thunberg - Persona del año 2019
Greta Thunberg
La mayor demostración
Demostración 2019

Si abrieras el documento, verías un “aviso” inteligentemente redactado, aparentemente un mensaje de Word mismo:

El “aviso”, por supuesto, no es generado por Word sino que es simplemente una página en el documento con trampa, y el contenido que se le pide que se habilite es una macro de Word, esencialmente una aplicación en miniatura incrustada en el documento.

Las macros utilizadas por los documentos de Emotet son la táctica inicial en el ataque de malware, e inician la siguiente etapa de la infección, generalmente lanzando un comando de PowerShell muy disfrazado (o incluso una cadena de comandos disfrazados) para descargar e implantar el programa de malware Emotet.

Una vez que se está infectado con el malware Emotet, es casi seguro que se producirá algo peor si no se actúa rápidamente.

En 2019, los investigadores de SophosLabs publicaron una serie de artículos sobre las distintas etapas de un ataque Emotet, señalando:

Las máquinas infectadas con Emotet se infectan habitualmente con otro malware de secuestro de credenciales centrado en las finanzas, como Qbot, Dridex, Ursnif / Gozi, Gootkit, IcedID, Azorult, Trickbot o cargas útiles de ransomware, como Ryuk, BitPaymer y GandCrab.

En pocas palabras, una infección típica de Emotet comienza mal, luego empeora y luego empeora aún más.

Desmantelando Emotet

Con esto en mente, nos alegró leer el anuncio de la semana pasada de Europol sobre un esfuerzo coordinado y multinacional para eliminar la infraestructura de red utilizada por la banda Emotet:

EMOTET, EL MALWARE MÁS PELIGROSO DEL MUNDO, DESMANTELADO MEDIANTE ACCIÓN GLOBAL

Las autoridades policiales y judiciales de todo el mundo han desmantelado esta semana una de las redes de bots más importantes de la última década: EMOTET. Los investigadores ahora han tomado el control de su infraestructura en una acción internacional coordinada.

Esta operación es el resultado de un esfuerzo de colaboración entre autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, con una actividad internacional coordinada por Europol y Eurojust.

Esa es la buena noticia.

La mala noticia es que el ciberdelito, para tomar prestada una metáfora que a menudo se aplica a la naturaleza, aborrece el vacío, de modo que cuando una banda de ciberdelincuentes cae, otros inevitablemente entran para intentar llenar el vacío. (No olvides la banda rival Buer Loader que mencionamos al comienzo del artículo).

Peor aún, a menos que y hasta que los ciberdelincuentes de Emotet sean arrestados y condenados, hay muchas posibilidades de que reconstruyan su infraestructura ilegal y regresen para recuperar su propio vacío.

De hecho, hace casi exactamente un año, en febrero de 2020, el equipo de Emotet se quedó en silencio durante varios meses, aparentemente por su propia voluntad y, sin embargo, el 17 de julio de 2020, su propia marca especial de documentos corruptos comenzó a inundar una vez más nuestras trampas de spam. Emotet había regresado.

Como dijo en ese momento el investigador sénior de amenazas de SophosLabs, Richard Cohen:

Hemos hablado mucho sobre Emotet en el pasado, incluso mostramos su ecosistema de malware y proporcionamos una serie de conceptos básicos detallados, sin olvidar mostrar como los ciberdelincuentes desahogaban su frustración con Sophos. [Nota: Los autores del malware incorporaron un insulto anti-Sophos en su código del malware.]

Pero luego, en febrero de 2020, Emotet cesó la producción: sus botnets dejaron de funcionar y las oleadas de campañas de spam se quedaron en silencio. Esta no es la primera vez que desaparece del radar, solo para volver a surgir meses después, y eso es exactamente lo que vimos [a mediados de julio de 2020].

¿Qué hacer?

Felicitemos todos a Europol y sus socios por este éxito. Pero recordemos también que todavía no ha terminado el juego para el malware Emotet y sus similares, porque la ciberseguridad es un viaje, no un destino.

Para obtener consejos sobre cómo protegerse contra Emotet y otro malware que utilice técnicas similares, lee nuestro artículo “Luchando contra Emotet: lecciones desde la primera línea”.

Dejar un comentario

Your email address will not be published. Required fields are marked *