Cómo Frankfurt detuvo a Emotet en sus pistas


Durante un tiempo cuando Secuestro de datos continúa a detener a los gobiernos de todo el mundo, una ciudad ha cambiado las tornas al detener preventivamente a su gobierno para evitar el ransomware.

Según ZDNet, a fines de diciembre, Frankfurt, Alemania, uno de los centros financieros más grandes del mundo,según los informes, cerró su red de TI después de que su plataforma anti-malware identificara una infección Emotet. El malware informado ingresó cuando un empleado hizo clic en un correo electrónico malicioso que había sido engañado para parecer que venía de una autoridad de la ciudad.

En lugar de correr el riesgo de una mayor propagación y la posterior infección más dañina, las autoridades gubernamentales tomaron la difícil decisión de detener la pink de TI hasta que se resolviera la amenaza Emotet. Al hacerlo, todas las funciones de TI de la ciudad se cerraron durante más de 24 horas, incluido el correo electrónico de los empleados, las aplicaciones esenciales y todos los servicios ofrecidos a través de la página internet Frankfurt.de. Sin embargo, la medida valió la pena, ya que el portavoz del departamento de TI Gunter Marr dicho Journal Frankfurt, No se había producido un daño duradero.

«En mi opinión, Frankfurt tomó una decisión muy valiente, probablemente no fácil, de cerrar la pink para erradicar su infección de Emotet», dijo John Fokker, Jefe de Investigaciones Cibernéticas para McAfee Innovative Menace Investigation. «La infección de Emotet es un precursor del ransomware Ryuk, por lo que creo que esquivaron la bala proverbial».

La conexión Emotet-Ransomware

En muchos casos, la primera señal de ransomware es la demanda de rescate en sí misma, que le alerta de que ha sido infectado y le pide que pague. El malware Emotet funciona de manera un poco diferente, ya que no es, en sí mismo, ransomware. En cambio, funciona como la llave de una puerta: Emotet infecta el sistema, y ​​una vez que el sistema está «abierto», el acceso a la pink infectada por Emotet se puede vender a grupos de ransomware y otros ciberdelincuentes, que luego pueden utilizar credenciales robadas y simplemente «Entrar». En una campaña reciente, una vez que Emotet fue descargado, a su vez descargó el troyano Trickbot de un host remoto, que robó credenciales y habilitó una infección exitosa de ransomware Ryuk.

Sin embargo, el mismo proceso de varios pasos que puede entregar dos días de pago en una sola implementación de ransomware es también el talón de Aquiles. Dado que obtener ransomware de una infección de Emotet generalmente es un proceso de dos o más pasos, si puede detener o eliminar Emotet en el Paso 1, los pasos posteriores hacia una infección de ransomware no pueden ocurrir.

Si bien la infección Emotet de Frankfurt y el posterior cierre condujeron a una pérdida de productividad de más de un día, interrupciones masivas e interrupciones importantes, la ciudad debería ser elogiada por su respuesta rápida y sensata: si hubieran intentado preservar las operaciones comerciales u optado por tomar una decisión En el enfoque de esperar y ver, una posible infección de ransomware podría haberles costado millones más en pérdida de productividad y mitigación de amenazas.

Una onza de prevención …

Si bien Frankfurt pudo interceptar la botnet Emotet a tiempo, muchos otros no lo hicieron otro ataque varios días antes, en una ciudad al norte de Frankfurt, resultó en una interrupción masiva cuando el malware Emotet condujo al despliegue exitoso del ransomware Ryuk. En otras palabras, la mejor y más segura manera de evitar un destino identical es prevenir una infección de Emotet en primer lugar.

Hay varios pasos que puede seguir para evitar que Emotet establezca una fortaleza en su pink:

  1. Eduque a sus empleados: El paso más importante es educa a tus empleados sobre cómo identificar intentos de phishing e ingeniería social. Identifique las mejores prácticas de seguridad de correo electrónico, como pasar el mouse sobre un enlace para identificar el destino serious antes de hacer clic en un enlace, nunca dar información de la cuenta por correo electrónico y ordenar que todos los correos electrónicos sospechosos sean reportados de inmediato.
  2. Vulnerabilidades de parche: El troyano Trickbot se entrega con frecuencia como carga secundaria a Emotet. Depende de la vulnerabilidad EternalBlue de Microsoft Home windows: reparar esta vulnerabilidad es un paso importante para proteger su pink.
  3. Fortalezca sus inicios de sesión: Si Emotet obtiene acceso, puede intentar propagarse adivinando las credenciales de inicio de sesión de los usuarios conectados. Al exigir contraseñas seguras y autenticación de dos factores, puede ayudar a limitar la propagación.
  4. Adopte una fuerte protección antimalware y asegúrese de que esté configurada correctamente: Una alerta oportuna de un sistema antimalware capaz permitió a Frankfurt detener a Emotet. Adoptar una protección de punto remaining fuerte como McAfee Endpoint Stability (ENS) Es uno de los pasos más importantes que puede tomar para ayudar a prevenir Emotet y otro malware. Una vez que esté en su lugar, puede maximizar su protección al realizando mantenimiento periódico y optimizando configuraciones.

Sobre todo, no caigas en la trampa de pensar que no te podría pasar a ti. De acuerdo con la Informe de amenazas de McAfee Labs, el ransomware creció un 118% solo en el primer trimestre de 2019, y se detectaron varias familias nuevas de ransomware. Si la avalancha de ataques recientes es una indicación, podemos ver tendencias similares en el primer trimestre de 2020.

«La demanda de acceso a las grandes redes corporativas o del sector público es muy alta en este momento», explicó Fokker. un punto de apoyo en las redes «.

«Toda empresa o institución debe ser diligente y no ignorar ni siquiera la violación más straightforward, incluso si sucedió hace más de un año», dijo Fokker.





Enlace a la noticia authentic