Autor: Itay Bochner
Resumen
El nombre de Emotet ha aparecido con bastante frecuencia en las noticias últimamente, tras un largo periodo sin llamar la atención, sobre todo en el contexto de los ataques generalizados de ransomware y las campañas avanzadas de phishing. Se trata de un troyano avanzado que suele distribuirse a través de archivos adjuntos de correo electrónico y enlaces que, al hacer clic en ellos, activan la carga maliciosa. Emotet actúa como un «dropper» para otro malware.
¿Qué hace que Emotet sea tan especial como para haberse convertido en la mayor red de bots utilizada por los ciberdelincuentes?
Para entenderlo, empezaremos por el principio...
Todo sobre Emotet
Emotet se identificó por primera vez en 2014, cuando clientes de bancos alemanes y austriacos se vieron afectados por este troyano. Se desarrolló como un troyano sencillo capaz de robar información confidencial y privada. A medida que fue evolucionando, adquirió más funcionalidades, como el envío de spam y servicios de distribución de malware (un «dropper») que, tras infectar un ordenador, instalaban otro malware. Por lo general, se instalan los siguientes programas:
- TrickBot: un troyano bancario que intenta acceder a los datos de inicio de sesión de cuentas bancarias.
- Ryuk: un ransomware que cifra los datos e impide que el usuario del ordenador acceda a ellos o a todo el sistema.
Emotet se propaga con características similares a las de un gusano a través de archivos adjuntos de correos electrónicos de phishing o de enlaces que descargan un archivo adjunto de phishing. Una vez abierto, Emotet se propaga por la red adivinando las credenciales de administrador y utilizándolas para escribir de forma remota en unidades compartidas mediante el protocolo de intercambio de archivos SMB, lo que permite al atacante desplazarse lateralmente por la red.
Según la US-CISA:
Emotet es un troyano avanzado que se propaga principalmente a través de archivos adjuntos y enlaces de correos electrónicos de phishing que, al hacer clic en ellos, activan la carga maliciosa (Phishing: Archivo adjunto de spearphishing [T1566.001], Phishing: Enlace de spearphishing [T1566.002]).A continuación, el malware intenta propagarse por la red mediante ataques de fuerza bruta contra las credenciales de los usuarios y escribiendo en unidades compartidas (Fuerza bruta: Adivinación de contraseñas [T1110.001], Cuentas válidas: Cuentas locales [T1078.003], Servicios remotos: SMB/Recursos compartidos de administrador de Windows [T1021.002]).
Lo anterior pone de relieve por qué es difícil prevenir Emotet, debido a sus técnicas especiales de evasión y a sus características «similares a las de un gusano», que le permiten propagarse de forma autónoma y lateral dentro de la red.
Otra característica clave es que Emotet utiliza DLL (bibliotecas de enlace dinámico) modulares para evolucionar y actualizar continuamente sus capacidades.
Actividad reciente
Se han publicado numerosos informes que apuntan a un fuerte aumento en el uso de Emotet
- Los ataques detectados mediante el troyano Emotet se dispararon más de un 1200 % entre el segundo y el tercer trimestre de este año, lo que respalda el aumento de las campañas de ransomware, según los últimos datos de HP Inc.
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/) - Desde julio de 2020, la CISA ha observado un aumento de la actividad relacionada con indicadores asociados a Emotet. Durante ese tiempo, el sistema de detección de intrusiones EINSTEIN de la CISA, que protege las redes de las administraciones federal, civil y ejecutiva, ha detectado aproximadamente 16 000 alertas relacionadas con la actividad de Emotet.
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a) - El mes pasado, Microsoft, Italia y los Países Bajos alertaron de un repunte en la actividad de spam malicioso de Emotet, lo que se produjo unas semanas después de que Francia, Japón y Nueva Zelanda emitieran sus propias alertas sobre Emotet.
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/) - En las últimas semanas, hemos observado un aumento significativo del malspam de Emotet
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/)
Lo que resulta bastante singular en el comportamiento de Emotet durante esta nueva oleada es el cambio en sus campañas de spam, que ahora también utilizan archivos ZIP protegidos con contraseña en lugar de documentos de Office.
La idea es que, al utilizar archivos protegidos con contraseña, los servidores de seguridad de correo electrónico no pueden abrir el archivo para analizar su contenido y, por lo tanto, no detectarán rastros del malware Emotet en su interior.
Palo Alto Networks también ha dado a conocer una nueva técnica utilizada por Emotet denominada «Thread Hijacking». Se trata de una técnica de ataque por correo electrónico que utiliza mensajes legítimos sustraídos de los clientes de correo electrónico de los ordenadores infectados. Este malspam suplantaba la identidad de un usuario legítimo y se hacía pasar por una respuesta al correo electrónico sustraído. El malspam generado mediante el secuestro de hilos se envía a las direcciones del mensaje original.
OPSWAT soluciones preventivas que protegen a su organización contra los ataques de Emotet. Nuestras soluciones ayudan a las organizaciones a evitar que Emotet se cuele en sus redes.
Email Gateway Security detiene los ataques de phishing
Secure » facilita la verificación del cumplimiento normativo
MetaDefender Core con tecnología Deep CDR™ (Content Disarm and Reconstruction) ofrece protección de seguridad para la carga de archivos mediante.
Para obtener más información, ponte en contacto con nosotros hoy mismo.
