Nuevas campañas de ataque sugieren que la amenaza de Emotet está lejos …



Investigadores de Cisco Talos, Cofense y Verify Issue Software package dicen que el malware descrito por el DHS como uno de los peores continúa evolucionando y creciendo.

En un desarrollo preocupante para las organizaciones, los investigadores de seguridad informan un resurgimiento reciente en la actividad relacionada con Emotet, un malware que el Departamento de Seguridad Nacional de los Estados Unidos (DHS) describió anteriormente como uno de los más destructivos.

Cisco Talos informó el jueves que vio una mayor actividad de Emotet dirigida a dominios militares de EE. UU. Y dominios pertenecientes a gobiernos estatales y federales.

Según el proveedor, los operadores de Emotet parecen haber comprometido con éxito las cuentas de una o más personas que trabajan para o con el gobierno de los Estados Unidos y enviaron correos electrónicos no deseados que contienen el malware a sus contactos. El resultado fue un rápido aumento en el volumen de mensajes que contienen Emotet dirigidos a dominios de alto nivel .mil y .gov el mes pasado y hasta ahora este mes, dijo el proveedor.

Mientras tanto, los investigadores de Cofense informaron sobre otra campaña de Emotet, esta dirigida a unos 600 empleados de las Naciones Unidas. La campaña incluyó un correo electrónico que pretendía ser de la Misión Permanente de Noruega con un archivo adjunto que, de abrirse, eventualmente resultaría en la descarga de Emotet en el sistema.

Jason Meurer, ingeniero de investigación sénior en Cofense, dice que ha habido al menos dos compromisos previos de una misión permanente en las Naciones Unidas relacionados con Emotet, que pueden haber sido utilizados para recopilar listas de contactos y correos electrónicos. «Vimos algunas otras líneas de asunto que parecen haber sido eliminadas de los correos electrónicos robados, lo que probablemente indica más víctimas antes de esta campaña más reciente», dice.

A fines de diciembre, Check Level Software package describió que su equipo de respuesta a incidentes veía cientos de ataques de Emotet por día, incluido uno en la ciudad de Frankfurt que obligaba a los funcionarios a desconectar su purple para evitar más daños. Según la compañía, respondió a unos 34 ataques el año pasado donde Emotet había sido utilizado para infectar una pink con el ransomware Ryuk. De hecho, cada incidente de ransomware de Ryuk que Verify Issue investigó en 2019 involucró a Emotet, dijo Look at Level.

Efectos de la ondulación
Emotet surgió en 2014 como un troyano bancario, pero a lo largo de los años se ha convertido en una de las herramientas más sofisticadas y ampliamente utilizadas para distribuir malware. Sus operadores son conocidos por infectar ampliamente los sistemas y luego vender el acceso a esos sistemas a otros actores de amenazas, especialmente aquellos detrás del troyano bancario Trickbot y la familia de ransomware Ryuk.

Emotet se propaga principalmente por correo electrónico no deseado, a menudo personalizado para que parezca más convincente para las víctimas específicas. El malware generalmente está oculto en documentos PDF, enlaces maliciosos o documentos de Word no autorizados. Los señuelos típicos para que los usuarios hagan clic en los archivos adjuntos y enlaces han incluido nombres que sugieren recibos de PayPal, notificaciones de envío, facturas de pagos y documentos legales. La reciente campaña dirigida al private de la ONU implicó un archivo adjunto que pretendía ser algún tipo de acuerdo firmado que involucraba al gobierno noruego.

Una vez que Emotet infecta un sistema, roba nombres y direcciones de correo electrónico de las listas de contactos de las víctimas y las utiliza para enviar correos electrónicos de phishing a otras víctimas. También puede robar contraseñas y viene integrado con funciones para detectar cajas de arena y otros mecanismos de management de seguridad. Las campañas de Emotet han afectado a organizaciones de todo el mundo, pero entre las más atacadas se encuentran las de Norteamérica, el Reino Unido y Australia.

«Infectarse con Emotet tiene muchos efectos de onda diferentes», dice Craig Williams, director de alcance de Cisco Talos. «Los sistemas infectados se utilizan para transmitir Emotet a víctimas adicionales, la información confidencial, como los datos de correo electrónico, se pueden filtrar y la infección brinda a los atacantes la capacidad de moverse lateralmente dentro de las redes donde Emotet está presente».

Lo que hace que Emotet sea especialmente preocupante es la forma en que utiliza la ingeniería social y las relaciones personales y profesionales para difundirse, dijo Cisco Talos en su reporte sobre los recientes ataques contra objetivos .mil y .gov. Debido a que Emotet usa la lista de contactos de una víctima para enviarse a otras personas, una persona que recibe el correo electrónico puede ser engañada para creer que es segura. A veces, el mensaje que envía Emotet incluye el contenido de un intercambio de correo electrónico anterior entre la víctima y el destinatario, lo que aumenta aún más su aparente autenticidad, dijo Cisco Talos.

Remediar las infecciones de Emotet puede ser un desafío debido a cuán experto se propaga el malware dentro de una purple, desde una sola máquina a cientos, dice Williams. «Además, se ha utilizado en algunas campañas de ransomware a gran escala que han resultado en grandes cantidades de pérdida y destrucción de datos», dice.

Los investigadores de seguridad y otros han estado especialmente preocupados por el uso de Emotet en la distribución de otro malware y en el acceso a las redes infectadas. En junio de 2018, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS describió a Emotet como «uno de los programas maliciosos más costosos y destructivos» dirigido a organizaciones gubernamentales, públicas y del sector privado. Según CISA, cada infección de Emotet ha costado a las entidades gubernamentales estatales, locales y federales hasta $ 1 millón para remediar.

CISA ha advertido sobre la naturaleza polimórfica del malware y su capacidad para evolucionar y actualizar continuamente sus funciones, así como su capacidad para evadir los sistemas de detección típicos basados ​​en firmas y para mantener la persistencia en un sistema infectado.

Desde la alerta CISA 2018, los investigadores de seguridad han dicho que el malware y los métodos utilizados para distribuirlo solo se han vuelto más tortuosos y peligrosos.

«Emotet se ha establecido como un rey entre los distribuidores de malware, capaz de transmitir infecciones a una gran cantidad de hosts infectados», dijo Check Position en un comunicado. reporte lanzado esta semana. «También puede actuar como una plataforma de lanzamiento para ataques precisos y coordinados contra organizaciones bien financiadas».

contenido relacionado:

Revisa El borde, La nueva sección de Dark Reading para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Cómo comprender el rumor sobre los Honeypots«.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más thoughts





Enlace a la noticia unique