El troyano Emotet evoluciona para propagarse a través de conexiones WiFi


router-wifi.jpg

Sin duda, el troyano Emotet es la principal amenaza de malware true, tanto en términos de cantidad (debido a sus enormes campañas de spam) como de riesgo (debido a su historial conocido de permitir que las pandillas de ransomware se compren el acceso a redes infectadas).

Históricamente, Emotet ha trabajado para establecerse dentro de una empresa después de que empleados descuidados abren documentos de Workplace atrapados por correo electrónico que reciben.

Una vez que se infectan, el troyano Emotet descarga varios módulos para extenderse lateralmente dentro de una red.

En los últimos años, este «movimiento lateral» ha sido limitado, ya que Emotet se ha limitado a computadoras y servidores que se encuentran en la misma purple solamente.

Las empresas que implementaron una segmentación de red adecuada a menudo podrían limitar el alcance de un ataque de Emotet a unos pocos departamentos o solo a unas pocas computadoras.

Emotet obtiene un spreader WiFi

Sin embargo, en una publicación de weblog publicada la semana pasada, los investigadores de seguridad de BinaryDefense han hecho un descubrimiento bastante importante que seguramente les dará dolores de cabeza a muchos administradores de sistemas en el futuro previsible, es decir, un módulo Emotet que, en ciertas circunstancias, puede saltar la brecha WiFi a las redes cercanas. .

El nuevo módulo Emotet «WiFi spreader» (como se llamaba) no garantiza una tasa de infección del 100%, ya que depende de que los usuarios utilicen contraseñas débiles para sus redes WiFi, sin embargo, abre un nuevo vector de ataque dentro de las empresas infectadas que Emotet Las pandillas pueden explotar para maximizar su alcance.

Esto significa que las computadoras infectadas con Emotet ahora son un peligro no solo para la propia crimson interna de la compañía infectada, sino también para las redes de cualquier compañía cercana que se encuentre en la proximidad física de la víctima unique.

Si alguien cercano a usted se infectó con Emotet y está utilizando una contraseña tonta para su WiFi, entonces podría existir la posibilidad de que su vecino le presente un regalo no deseado en forma de una infección de Emotet.

Antes de avanzar con algunas observaciones interesantes sobre la importancia de este módulo y lo que significa para las empresas, resumiremos el modus operandi del difusor de WiFi:

  • Emotet infecta a un huésped
  • Emotet descarga y ejecuta el módulo separador WiFi
  • El módulo difusor WiFi enumera todos los dispositivos Wi-Fi habilitados en el host (generalmente la NIC WLAN)
  • El módulo extrae la lista de todas las redes WiFi localmente accesibles
  • El difusor WiFi realiza un ataque de fuerza bruta en cada pink WiFi mediante el uso de dos listas internas de contraseñas fáciles de adivinar.
  • Si el ataque de fuerza bruta tiene éxito, el difusor de WiFi Emotet ahora tiene acceso directo a otra purple, pero no tiene ningún punto de apoyo en ningún servidor o estación de trabajo en esa purple.
  • El difusor WiFi pasa a un segundo ataque de fuerza bruta que intenta adivinar los nombres de usuario y las contraseñas de los servidores y las computadoras conectadas a esta pink WiFi.
  • Si este segundo ataque de fuerza bruta tiene éxito, Emotet se establece en una segunda red, y el ciclo de infección de Emotet comienza desde cero, con Emotet saltando con éxito la brecha entre dos redes a través de una conexión WiFi.
emotet-wifispreader.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/02/11/ba015dc4-72f7-4ca3-908f-eccb91a31987/emotet-wifispreader.png

Imagen: Defensa binaria

Según BinaryDefense, el spreader WiFi no funciona en Home windows XP SP2 y Windows XP SP3, principalmente debido a que el módulo united states algunas funciones más nuevas.

BinaryDefense dice que el difusor de WiFi tiene una marca de tiempo del 16 de abril de 2018, lo que sugiere que se desarrolló hace casi dos años, pero nunca se implementó o detectó ampliamente hasta hace poco, cuando lo recogieron por primera vez.

Consideraciones para empresas

El descubrimiento de este nuevo módulo Emotet es una gran noticia, en varios niveles, como seguridad WiFi, espacios de trabajo compartidos e investigaciones de respuesta a incidentes (IR).

Seguridad WiFi:

Los administradores de sistemas a menudo usan redes WiFi para segmentar partes de sus redes en diferentes secciones, pero aún mantienen la conectividad a World-wide-web disponible para todos los empleados.

Este nuevo módulo Emotet significa que las empresas ya no pueden ejecutar redes WiFi con contraseñas simplistas dentro de su sede. Si la pandilla Emotet choose desplegar su módulo de conexión WiFi, pueden saltar a las redes cercanas si esas redes no usan una contraseña compleja.

Espacios de trabajo compartidos:

No todas las empresas pueden pagar su propia sede. Las empresas que trabajan en grandes edificios de oficinas, donde están al alcance de otras redes WiFi, ahora están en riesgo.

Si la empresa A se infecta con Emotet y la computadora infectada está dentro del alcance de la crimson WiFi de la empresa B, la empresa B ahora corre el riesgo de infectarse con Emotet, incluso si sus empleados nunca se infectaron directamente con Emotet.

Investigaciones IR:

Tener Emotet en su red a través de WiFi probablemente complicará muchas investigaciones de respuesta a incidentes. WiFi no es un vector de ataque tradicional para Emotet, ni para muchas otras cepas de malware.

En muchos casos, las empresas usan contraseñas simplistas para redes WiFi internas porque saben que solo los empleados estarán al alcance para acceder a ellas. Las empresas pueden no ser conscientes de que necesitan usar contraseñas de puntos de acceso WiFi más complejos para evitar futuras intrusiones de Emotet.


Aunque un investigador de BinaryDefense no estaba disponible para hacer comentarios, el proveedor de seguridad fue bastante claro en su informe la semana pasada cuando dijo que Emotet recibió un gran impulso en las capacidades de ataque.

BinaryDefense advierte a las compañías que tomen precauciones al proteger las redes WiFi con contraseñas seguras, ya que esta es la forma más fácil de defenderse contra el nuevo módulo WiFi de Emotet.



Enlace a la noticia original