La campaña Emotet se reinicia después de una pausa de siete semanas



Varios investigadores de seguridad notan el regreso de una campaña de correo electrónico que intenta difundir el malware, que a menudo se usa para eliminar el ransomware Ryuk y el troyano bancario Trickbot.

En octubre, tres oleadas de spam cargadas con el descargador Emotet funcionaron para propagar el malware a los sistemas de usuarios vulnerables, iniciando una secuencia que a menudo resulta en una infección de ransomware Ryuk o intentos de robar credenciales de cuentas bancarias a través del troyano bancario Trickbot.

El 30 de octubre, con la finalización de la tercera campaña, el spam del grupo disminuyó y casi no apareció tráfico posterior. Hasta ahora.

Siete semanas después de la última gran campaña de Emotet, los ciberdelincuentes detrás del descargador han comenzado sus intentos de comprometer más sistemas, según múltiples organizaciones de ciberseguridad. Anti-spam crusader Abuse.ch anotado el 22 de diciembre que el grupo de ciberdelincuencia había aumentado su actividad justo antes de Navidad. El día anterior, el proveedor de seguridad de mensajería Proofpoint señaló que sus sistemas estaban viendo más de 100,000 mensajes en varios idiomas y con una variedad de archivos adjuntos o enlaces.

La última campaña podría llevar a sistemas comprometidos y amenazas a las redes comerciales, ya que la mayoría de los empleados continúan trabajando desde casa.

«Lo que hace que Emotet sea particularmente peligroso para las organizaciones es que ha sido el punto de apoyo principal para el futuro despliegue de otros troyanos bancarios», dice Sherrod DeGrippo, director senior de investigación y detección de amenazas en Proofpoint. «En este punto, cualquier troyano bancario convencional puede provocar devastadores ataques de ransomware».

Si bien la compañía todavía está analizando la última variante de Emotet, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. Denominó las campañas de malware «una de las amenazas actuales más frecuentes» en un aviso publicado a principios de octubre. El gobierno de EE. UU. Había visto un aumento en los indicadores asociados a Emotet desde julio, y que se dirigían específicamente a los gobiernos estatales y locales, según el aviso.

«Emotet es un troyano avanzado que se propaga principalmente a través de enlaces y archivos adjuntos de correo electrónico de phishing que, una vez que se hace clic, inician la carga útil», indica el aviso. «Luego, el malware intenta proliferar dentro de una red forzando las credenciales del usuario a la fuerza bruta y escribiendo en unidades compartidas».

Si bien la última campaña de Emotet comenzó a mediados de diciembre, la actividad se hizo más evidente en los últimos comentarios. Proofpoint emitió una breve declaración en Twitter el 21 de diciembre que también mostraba una captura de pantalla de la ingeniería social utilizada para intentar que las víctimas desactiven las funciones de Microsoft 365 que bloquean documentos maliciosos.

«#Emotet regresa después de un breve descanso justo a tiempo para las vacaciones», Proofpoint tuiteó como parte de la declaración. «Estamos viendo más de 100.000 mensajes en inglés, alemán, español, italiano y más. Los señuelos utilizan el secuestro de subprocesos con archivos adjuntos de Term, cremalleras protegidas con pw y URL».

Emotet ha sido a menudo el ataque inicial de una tríada de malware: el descargador Emotet, el ransomware Ryuk y el troyano bancario Trickbot. La triple amenaza del malware ha tenido un éxito enorme. En junio, el equipo de respuesta a incidentes de Cisco Talos declaró que la mayoría de sus compromisos durante el último año habían sido para limpiar el ransomware Ryuk. A principios de diciembre, la empresa de servicios de seguridad CrowdStrike declaró que, de los más de 200 incidentes investigados por la empresa, el 63% estaban motivados económicamente y el 81% de esos incidentes eran ataques de ransomware o un ataque en etapa inicial que normalmente conduce al ransomware.

Las empresas de ciberseguridad continúan intentando interrumpir los rentables ataques ciberdelincuentes. En octubre, Microsoft, el Centro de análisis e intercambio de información de servicios financieros (FS-ISAC) y otras empresas de ciberseguridad se unieron para intentar interrumpir la botnet Trickbot.

los últimos datos de la foundation de datos de URLhaus, que rastrea dominios maliciosos y sospechosos, muestra que la actividad de spam de Emotet ha aumentado rápidamente durante la última semana.

Esta no es la primera vez que el grupo Emotet se toma un descanso. Los volúmenes de spam disminuyeron en febrero de 2020 y no regresaron hasta julio, según datos de Cisco Talos.

«Emotet ocasionalmente toma descansos periódicos para no enviar correos electrónicos no deseados maliciosos, como se vio a principios de este año». la empresa declaró en una publicación de blog site.

Si bien esta versión de Emotet podría ser identical a versiones anteriores, el desarrollador del malware optó por utilizar bibliotecas dinámicas para permitir que sus funciones se actualicen fácilmente, señaló el CISA en su aviso.

«Emotet es difícil de combatir debido a sus características &#39parecidas a gusanos&#39 que permiten infecciones en toda la purple», afirmó la agencia. «Además, Emotet utiliza bibliotecas de vínculos dinámicos modulares para evolucionar y actualizar continuamente sus capacidades».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Studying, MIT&#39s Technologies Overview, Popular Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique