Conoce al grupo de sombrero blanco que lucha contra Emotet, el malware más peligroso del mundo


Criptolaemus

Imagen de fondo a través de Guido Bohne (CC-BY-SA-2.)

Durante más de un año, un grupo de investigadores de seguridad y administradores de sistemas se han unido para luchar contra Emotet, la operación de malware más activa y peligrosa de la actualidad.

Al trabajar juntos, el grupo Cryptolaemus ha obstaculizado seriamente las operaciones de Emotet. Diariamente, el grupo publica actualizaciones en su sitio website y Cuenta de Twitter. Comparten los llamados indicadores de compromiso (COI). Estos incluyen direcciones IP para servidores de comandos de Emotet, líneas de asunto utilizadas en campañas de spam de Emotet y hashes de archivos para archivos infectados por Emotet.

Los miembros de Cryptolaemus comparten estos detalles para que los administradores de sistemas y redes de todo el mundo puedan importar los COI en sus productos de ciberseguridad y protegerse contra posibles infecciones de Emotet, o ayudar con las detecciones tempranas antes de que el malware pueda causar un daño extenso.

«Personalmente, solo quiero ayudar a las personas y detener este tratamiento», dijo Joseph Roosen, uno de los miembros de Cryptolaemus.

«Cuando Emotet infectó mi red en mi trabajo diario en noviembre de 2017, solo lo detuvimos al tener un esquema de VLAN bastante robusto y, por lo tanto, el movimiento lateral fue aislado y más fácil de limpiar», dijo Roosen.

«Sin embargo, la experiencia cambió mi vida y me molestó al mismo tiempo».

Emotet: del troyano bancario al imperio del delito cibernético

La razón de la ira de Roosen fue Emotet, un nombre que explain tanto una cepa de malware como la operación legal detrás de ella.

Emotet apareció en línea en 2014. Comenzó sus operaciones como troyano bancario. Los troyanos bancarios estaban furiosos a mediados de la década de 2010.

Emotet infectaría a una víctima, acecharía en un sistema hasta que el usuario acceda a su cuenta bancaria, gown las credenciales del usuario y luego permita que la pandilla Emotet acceda a la cuenta bancaria y gown fondos.

Pero para 2014, los bancos ya se habían enfrentado a troyanos bancarios como Emotet durante más de una década, y estaban comenzando a implementar medidas contra el fraude. Los sistemas de autenticación multifactor, la geovalla IP y las alertas de transacciones hicieron que robar fondos de la cuenta bancaria de alguien sin su conocimiento fuera mucho más difícil.

La pandilla Emotet vio la escritura en la pared, y en la primavera y el verano de 2016, se convirtieron en una de las primeras operaciones importantes de troyanos bancarios en comenzar a transformarse en otra cosa.

Durante 2016 y el año siguiente, en 2017, Emotet reemplazó lentamente la mayor parte de su foundation de código y se transformó de un troyano bancario en un cargador de malware.

Un «cargador» es una variedad de malware increíblemente simplista. Infecta a una víctima y luego descarga (o carga) otro malware. Emotet descargaría sus propios módulos o descargaría el malware de otra persona.

Básicamente, Emotet cambió su modo de operación completo en solo dos años, de un grupo cerrado que robó dinero de las cuentas bancarias de las personas, a un grupo abierto que permitió que otras pandillas de malware alquilaran acceso a computadoras infectadas en todo el mundo.

Hoy en día, Emotet es una de las mayores operaciones de «cargadores» en el mercado. Es efectivamente un imperio de cibercrimen. Son tan grandes que otros «cargadores», como TrickBot, alquilan acceso a su enorme purple de computadoras infectadas.

Ransomware, crypto-miners, ladrones de información, troyanos bancarios se han visto plantados en hosts infectados por Emotet.

emotet-infographic.png "src =" https://zdnet4.cbsistatic.com/hub/i/2019/12/02/570df464-6efe-496b-a2ff-0c617dd074ea/emotet-infographic.png

Imagen: Sophos

Hoy en día, una infección de Emotet significa mucho más que muchas otras infecciones de malware. Una infección de Emotet generalmente significa que Emotet también ha expandido su alcance desde el punto de entrada inicial a toda su red.

Hoy, Emotet viene con una gran cantidad de módulos que le permiten extenderse dentro de una purple una vez que se asienta en ella. Sus herramientas de movimiento lateral son tan avanzadas que ahora son pioneras en un método novedoso de propagación a través de conexiones WiFi, algo que no se ve en ninguna otra operación de malware.

Hoy, todos los buenos investigadores de seguridad le dirán que Emotet es una de las infecciones más peligrosas que puede contraer, justo al lado de TrickBot, otra operación equivalent de descarga de troyanos bancarios.

Emotet es hoy una prueba de fuego para la comunidad infosec (seguridad de la información). Si un investigador de seguridad está minimizando una infección de Emotet, lo más possible es que haya perdido el contacto con lo que hay en el mundo del malware.

Las autoridades en Alemania y los Países Bajos actualmente tratan a Emotet de la misma manera que a los ataques de ransomware. Cuando una empresa se infecta con Emotet, las autoridades de seguridad cibernética en esos dos países le dicen a la empresa víctima que cierre toda su red y la retire inmediatamente de World-wide-web. Las infecciones de Emotet que se dejan sin handle eventualmente se convierten en violaciones de datos e infecciones de ransomware.


Reunirse para luchar contra Emotet

Fue en junio de 2018 cuando surgió la plan de un grupo anti-Emotet. En un chat grupal de Twitter, un administrador del sistema con sede en EE. UU. Llamado JayTHL preguntó «¿Tienes algún interés en un grupo de trabajo dedicado de Emotet?»

Casi todos en el chat dijeron que sí.

«Antes de que te des cuenta, estamos chateando diariamente sobre los TTP de Emotet (Tácticas, Técnicas y Procedimientos) y compartiendo información», dijo Roosen. ZDNet en una entrevista.

«Eventualmente, después de que las cosas se pusieron en marcha, comenzamos a agregar más miembros e hicimos un esfuerzo conjunto para publicar nuestros IoC en lugar de hacerlo como elementos individuales», agregó Roosen.

Así surgió un grupo formal.

Cuando se trataba de nombrarlo, tenían el título perfecto.

«Este nombre — Criptolaemus «se basa en el género de escarabajos que se sabe que son &#39destructores de cochinillas&#39», dijo Roosen.

«En el verano de 2018, Symantec tenía publicó un web site de inteligencia sobre amenazas alegando que el nombre de los actores de Emotet era &#39Mealybug&#39 «, dijo Roosen.

«Ninguno de nosotros había oído hablar de esto antes y nos rascamos la cabeza en cuanto a su origen. Rápidamente se convirtió en una broma para nosotros que fuimos los destructores de Mealybug (s), y por lo tanto, nació el nombre Cryptolaemus».

La notion del nombre Cryptolaemus vino de un investigador de seguridad que ingresó a Twitter por @ ps66uk, un biólogo capacitado, que muestra cuán diverso se estaba volviendo el grupo.

Ahora, el equipo de Cryptolaemus tiene más de 20 miembros. en su sitio world wide web, pero sus filas son mucho más grandes. Muchos no pueden revelar su afiliación al grupo debido a los acuerdos de confidencialidad que han firmado. Algunos trabajan como administradores de TI para grandes corporaciones, mientras que otros trabajan en empresas de ciberseguridad. La mayoría trabaja en contratos que no les permiten compartir información sobre amenazas libremente en Web.

Sin embargo, muchos lo están haciendo de todos modos.

Derribando Emotet una gota de agua a la vez

Lo están haciendo porque quieren ver a Emotet cerrado y su cerebro, un individuo conocido solo como Ivan, arrestado y tras las rejas.

Pero derribar a Emotet no es una hazaña fácil. Emotet es una de las operaciones de malware más sofisticadas conocidas hasta la fecha. Funciona a partir de tres botnets distintas, no solo una, creadas por esta misma razón: para hacer que los derribos sean más difíciles.

Además, se cree que Ivan reside en Rusia, un país que no ha colaborado demasiado para ayudar a eliminar las operaciones locales de cibercrimen.

«Me encantaría que los arrestaran, pero si simplemente se rinden, también seré feliz», dijo James Quinn, analista de malware en Binary Defense y miembro de Cryptolaemus.

Hacer que Emotet e Ivan se den por vencidos, o hacer tapping, es lo que los miembros de Cryptolaemus tienen en mente. La mayoría sabe que un arresto o un derribo están muy lejos.

En cambio, esperan que al compartir los COI diarios de Emotet puedan reducir la tasa de infección de Emotet y las ganancias de Ivan.

En este momento, los miembros de Cryptolaemus tienen reuniones periódicas en los canales de Slack y Telegram, donde discuten nuevas formas de obstaculizar a Emotet. Algunos dedican su tiempo a la ingeniería inversa de cargas útiles de malware Emotet, otros rastrean los servidores de comando y handle de la botnet, mientras que otros descifran el cifrado y otros protocolos relacionados con Emotet.

Sus esfuerzos no han pasado desapercibidos. Hoy, el trabajo del grupo a menudo es seguido de cerca por las fuerzas del orden y las empresas de seguridad cibernética por igual. Pero el mayor admirador de Cryptolaemus es la pandilla Emotet.

«Estoy bastante seguro de que están al tanto y leen nuestros informes diarios», dijo Roosen.

«Los hemos visto cambiar de táctica minutos después de nuestras publicaciones, con la frecuencia suficiente como para que sea más que una straightforward coincidencia. Estoy bastante seguro de que son parte de los muchos que leen nuestras publicaciones tan pronto como se publican», agregó el investigador.

«Incluso bromeamos que ahora están llamando a las tres redes de bots como Epoch 1, Epoch 2 y Epoch 3 internamente (según los nombres que les asignamos)».

Un punto muerto

En este momento, la pelea entre Cryptolaemus y Emotet parece estar en un punto muerto sin embargo, los esfuerzos del grupo son ampliamente apreciados y respetados en la comunidad infosec, donde, lenta pero seguramente, los miembros del grupo se han convertido en expertos de Emotet de facto, cuyas opiniones siempre son muy valoradas.

Pero si bien el grupo Cryptolaemus nunca puede obtener su deseo de ver a Iván esposado, el grupo todavía está muy contento de cómo resultaron las cosas.

«Honestamente, ver la cantidad de cooperación en el grupo es realmente genial, porque algunos de nosotros literalmente trabajamos para competidores directos entre nosotros, pero aún podemos trabajar juntos y eliminar los COI, lo cual es raro de ver en la industria «, Dijo Quinn.

«Aprendo algo nuevo todos los días, parece, y estoy ayudando al mundo», dijo Roosen. «¡Para mí, esto es ganar-ganar! Estoy realmente conmovido por la gente que nos contacta y nos explica cómo los hemos ayudado en sus batallas con Emotet».

«Creo que hemos tenido algunas victorias menores en esta pelea con los actores de Emotet, pero nuestro mayor logro es la colaboración abierta y el intercambio entre diferentes entidades en la industria», agregó Roosen.

«Debido a que somos vistos como una parte neutral, la gente trabajará con nosotros más libremente, y a través de esa colaboración, hemos logrado grandes cosas juntos».





Enlace a la noticia initial