El malware Emotet eliminado por el esfuerzo policial global


La infame botnet ha sido interrumpida gracias a un esfuerzo internacional en los EE. UU., Canadá y varias naciones europeas.

malware en un sistema informático

Imagen: kaptnali, Getty Illustrations or photos / iStockphoto

Una de las redes de bots maliciosas más generalizadas, peligrosas y disruptivas está fuera del negocio, al menos por ahora.

VER: 10 formas de minimizar las infecciones de malware sin archivos (PDF gratuito) (TechRepublic)

El derribo

El martes, la Agencia de la Unión Europea para la Cooperación en materia de Aplicación de la Ley (Europol) anunció que el La botnet Emotet ha sido interrumpida como resultado de los esfuerzos de las autoridades judiciales y policiales en varios países. Como parte de una acción coordinada, los investigadores han tomado el handle de la infraestructura de Emotet, deteniendo efectivamente sus actividades maliciosas.

La infraestructura de Emotet constaba de varios cientos de servidores ubicados en todo el mundo, según Europol. Cada servidor ayudó individualmente y en conjunto a los atacantes detrás de la operación a administrar las computadoras infectadas, difundir el malware a nuevas víctimas, servir a otros grupos criminales y fortalecer su purple contra los intentos de eliminación.

Muchos países participaron en el esfuerzo de eliminación, específicamente los Países Bajos, Alemania, Francia, Lituania, Canadá, EE. UU., Reino Unido y Ucrania. Muchas agencias de aplicación de la ley y cuerpos judiciales en estas naciones desempeñaron un papel, incluido el Tribunal Judicial de París en Francia, la Policía Legal Federal en Alemania, la Genuine Policía Montada de Canadá en Canadá, la Agencia Nacional contra el Crimen en el Reino Unido y el FBI y Departamento de Justicia de Estados Unidos.

Las empresas privadas también jugaron un papel clave en el derribo. Como ejemplo, la empresa de inteligencia de amenazas Staff Cymru se asoció con el FBI para ayudar a llevar a cabo la operación. En un comunicado publicado, la firma dijo que detalló y validó las direcciones IP de los controladores de Nivel 1 de Emotet y reclutó a los operadores de red necesarios para ayudar con el desmontaje.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Al interrumpir la infraestructura de Emotet desde el interior, los organismos participantes pudieron redirigir las computadoras de las personas víctimas de Emotet a una infraestructura controlada por las fuerzas del orden. Europol calificó el esfuerzo como una forma nueva y única de interrumpir las actividades de los ciberdelincuentes.

Antecedentes de Emotet

Emotet se descubrió por primera vez en 2014 como un troyano bancario en el que se usaba para robar credenciales de cuentas bancarias e información financiera de las personas infectadas. Sin embargo, a lo largo de los años, la botnet se convirtió en un producto más utilizado por los ciberdelincuentes y en una amenaza creciente para las personas y las organizaciones.

Las personas detrás de Emotet comenzaron a ofrecerlo en alquiler a otros delincuentes como una forma de instalar diferentes tipos de malware, incluidos troyanos bancarios y ransomware. Conocido como una operación de «cargador», este tipo de ataque convertido en Emotet es una de las amenazas más infames y conocidas en el ciberdelito, allanando el camino para otras operaciones como TrickBot y Ryuk.

VER: Los malos actores lanzaron una ola sin precedentes de ataques DDoS en 2020 (TechRepublic)

Emotet generalmente llegaba a las computadoras a través de archivos infectados enviados por correo electrónico. En estos casos, los mensajes de correo electrónico venían con documentos maliciosos de Microsoft Term adjuntos al mensaje o disponibles para descargar a través de un enlace. Después de abrir dicho documento, se le pide al destinatario que habilite las macros para que el código malicioso en el archivo se pueda activar e instalar Emotet en la computadora.

Para engañar a los usuarios desprevenidos para que activen el malware, las campañas de Emotet han utilizado tácticas como facturas falsas, avisos de envío falsos y supuesta información sobre COVID-19. Como parte de la operación de eliminación, la policía holandesa confiscó las direcciones de correo electrónico, los nombres de usuario y las contraseñas comprometidas por Emotet. Cualquier persona que tenga curiosidad por saber si su dirección de correo electrónico fue robada por la botnet puede completar un formulario ofrecido por el departamento de policía holandés.

«La botnet Emotet, que atrae a las víctimas a través de correos electrónicos de phishing, solo en 2020 envió correos electrónicos con más de 150.000 líneas de asunto diferentes y más de 100.000 nombres de archivos diferentes», dijo Lotem Finkelsteen, jefe de inteligencia de amenazas de Verify Issue Application. «Ajustó constantemente sus correos electrónicos de phishing a los intereses de las víctimas y los eventos globales. La actividad de Emotet alcanzó su punto máximo este año entre agosto y octubre con un promedio de 25.000 nombres de archivos diferentes detectados cada mes».

VER: Cómo las cuentas fantasma pueden dejar a su organización susceptible al ransomware (TechRepublic)

Pero la cantidad de correos electrónicos de Emotet se redujo a fines de 2020, lo que Finkelsteen cree que puede deberse al esfuerzo worldwide de aplicación de la ley. Durante los últimos dos meses, las comunicaciones de Emotet con su servidor de Comando y Management disminuyeron en un 40% desde su período pico, agregó Finkelsteen.

¿Emotet realmente se ha ido?

Incluso después de un derribo exitoso, los ciberdelincuentes tienen la costumbre de reaparecer de maneras inteligentes e inesperadas. Y lo mismo podría aplicarse fácilmente a Emotet.

«Desafortunadamente, con algo como Emotet, que ha estado funcionando durante tanto tiempo y está tan profundamente arraigado en el conjunto de herramientas clandestinas del ciberdelito, es difícil considerar que se ha ido para siempre», dijo a TechRepublic Brandon Hoffman, director de seguridad de la información de la firma de seguridad Netenrich. «Ciertamente, las personas que operaron Emotet, así como los desarrolladores de Emotet, encontrarán una manera de recuperar los remanentes y reutilizarlo en una nueva versión. Si bien el nombre Emotet ya no se puede usar, debemos asumir que las piezas principales permanecerán a través de otras herramientas y métodos «.

VER: Cómo las empresas de gestión de activos son vulnerables al ransomware y los ataques de phishing (TechRepublic)

El esfuerzo internacional para alterar Emotet es ciertamente digno de aplauso. Pero en los siete años que funcionó la botnet, causó daños e interrupciones importantes. La lucha contra este tipo de amenazas globales requerirá iniciativas globales más continuas y rápidas.

«Tenemos que aspirar a una mayor cooperación internacional para la ciberseguridad, además de un mejor tiempo de respuesta», dijo a TechRepublic Hitesh Sheth, presidente y director ejecutivo de la firma de seguridad Vectra. «Ninguno de nosotros sabe cuántos primos de malware de Emotet están haciendo más daño en este momento, pero si cada uno tarda siete años en neutralizarse, permaneceremos en una disaster perpetua».

Además, ahora no es el momento para que las empresas se sienten y se relajen, según Dirk Schrader, vicepresidente world del proveedor de ciberseguridad New Net Systems. Schrader aconseja a las empresas que utilicen esta pausa con Emotet para reforzar sus defensas y verificar si todos los controles de seguridad clave están en su lugar. Eso significa seguir al menos los cinco primeros Controles CIS (Middle for World-wide-web Stability)– inventario de components y software package, identificación y gestión de vulnerabilidades, regulate de privilegios administrativos y protección de hardware y software en Computer y dispositivos móviles.

Ver también



Enlace a la noticia primary