Cómo Frankfurt detuvo a Emotet en sus pistas


Durante un momento en que el ransomware continúa deteniendo a los gobiernos de todo el mundo, una ciudad ha cambiado las tornas, al detener su gobierno de forma preventiva para evitar el ransomware.

Según ZDNet, a fines de diciembre, Frankfurt, Alemania, uno de los centros financieros más grandes del mundo,según los informes, cerró su crimson de TI después de que su plataforma antimalware identificara una infección Emotet. El malware informado ingresó cuando un empleado hizo clic en un correo electrónico malicioso que había sido engañado para parecer que venía de una autoridad de la ciudad.

En lugar de correr el riesgo de una mayor propagación y la posterior infección más dañina, las autoridades gubernamentales tomaron la difícil decisión de detener la red de TI hasta que se resolviera la amenaza Emotet. Al hacerlo, todas las funciones de TI de la ciudad se cerraron durante más de 24 horas, incluido el correo electrónico de los empleados, las aplicaciones esenciales y todos los servicios ofrecidos a través de la página net Frankfurt.de. Sin embargo, la medida valió la pena, como el portavoz del departamento de TI Gunter Marr dicho Journal Frankfurt, No se había producido un daño duradero.

«En mi opinión, Frankfurt tomó una decisión muy valiente, probablemente no fácil, de cerrar la purple para erradicar su infección de Emotet», dijo John Fokker, Jefe de Investigaciones Cibernéticas para McAfee State-of-the-art Risk Investigate. «La infección de Emotet es un precursor del ransomware Ryuk, así que creo que esquivaron la bala proverbial».

La conexión Emotet-Ransomware

En muchos casos, la primera señal de ransomware es la demanda de rescate en sí misma, que le alerta de que ha sido infectado y le pide que pague. El malware Emotet funciona de manera un poco diferente, ya que no es, en sí mismo, ransomware. En cambio, funciona como la llave de una puerta: Emotet infecta el sistema, y ​​una vez que el sistema está «abierto», el acceso a la red infectada por Emotet se puede vender a grupos de ransomware y otros ciberdelincuentes, que luego pueden utilizar credenciales robadas y simplemente «Entrar». En una campaña reciente, una vez que Emotet fue descargado, a su vez descargó el troyano Trickbot de un host remoto, que robó credenciales y habilitó una infección exitosa de ransomware Ryuk.

Sin embargo, el mismo proceso de varios pasos que puede entregar dos días de pago en una sola implementación de ransomware es también el talón de Aquiles. Dado que obtener ransomware de una infección de Emotet generalmente es un proceso de dos o más pasos, si puede detener o eliminar Emotet en el Paso 1, los pasos subsiguientes hacia una infección de ransomware no pueden ocurrir.

Si bien la infección Emotet de Frankfurt y el posterior cierre condujeron a una pérdida de productividad de más de un día, interrupciones masivas e interrupciones importantes, la ciudad debería ser elogiada por su respuesta rápida y sensata: si hubieran intentado preservar las operaciones comerciales u optado por tomar un En el enfoque de esperar y ver, una posible infección de ransomware podría haberles costado millones más en pérdida de productividad y mitigación de amenazas.

Una onza de prevención …

Si bien Frankfurt pudo interceptar la botnet Emotet a tiempo, muchos otros no lo hicieron otro ataque varios días antes, en una ciudad al norte de Frankfurt, resultó en una interrupción masiva cuando el malware Emotet condujo al despliegue exitoso del ransomware Ryuk. En otras palabras, la mejor y más segura forma de evitar un destino identical es prevenir una infección de Emotet en primer lugar.

Hay varios pasos que puede seguir para evitar que Emotet establezca una fortaleza en su purple:

  1. Eduque a sus empleados: El paso más importante es educar a sus empleados sobre cómo identificar intentos de phishing e ingeniería social. Identifique las mejores prácticas de seguridad de correo electrónico, como pasar el mouse sobre un enlace para identificar el destino serious antes de hacer clic en un enlace, nunca dar información de la cuenta por correo electrónico y exigir que todos los correos electrónicos sospechosos sean reportados de inmediato.
  2. Vulnerabilidades de parche: El troyano Trickbot se entrega con frecuencia como carga secundaria a Emotet. Depende de la vulnerabilidad de Microsoft Home windows EternalBlue: corregir esta vulnerabilidad es un paso importante para proteger su pink.
  3. Fortalezca sus inicios de sesión: Si Emotet obtiene acceso, puede intentar propagarse adivinando las credenciales de inicio de sesión de los usuarios conectados. Al exigir contraseñas seguras y autenticación de dos factores, puede ayudar a limitar la propagación.
  4. Adopte una fuerte protección antimalware y asegúrese de que esté configurada correctamente: Una alerta oportuna de un sistema antimalware capaz permitió a Frankfurt detener a Emotet. Adoptar una protección sólida de endpoints como McAfee Endpoint Protection (ENS) es uno de los pasos más importantes que puede tomar para ayudar a prevenir Emotet y otro malware. Una vez que está en su lugar, puede maximizar su protección realizando mantenimiento periódico y optimizando las configuraciones.

Sobre todo, no caigas en la trampa de pensar que no te podría pasar a ti. Según el Informe de amenazas de McAfee Labs, el ransomware creció un 118% solo en el primer trimestre de 2019, y se detectaron varias familias nuevas de ransomware. Si la avalancha de ataques recientes es una indicación, podemos ver tendencias similares en el primer trimestre de 2020.

«La demanda de acceso a las grandes redes corporativas o del sector público es muy alta en este momento», explicó Fokker. «Los actores del ransomware están constantemente escaneando, haciendo spearphishing, comprando el acceso obtenido de otras infecciones de malware y obteniendo archivos de registro de malware que roban información para obtener un punto de apoyo en las redes «.

«Toda empresa o institución debe ser diligente y no ignorar ni siquiera la violación más uncomplicated, incluso si sucedió hace más de un año», dijo Fokker.





Enlace a la noticia initial