Intl. La operación de las fuerzas del orden interrumpe la botnet Emotet



Las agencias de aplicación de la ley globales han tomado el management de la infraestructura de Emotet, interrumpiendo una de las amenazas cibernéticas más invasivas y peligrosas del mundo.

Una operación policial world wide coordinada ha interrumpido la infraestructura de Emotet, una de las botnets más peligrosas del mundo y un vector de ataques de malware y ransomware.

Las autoridades participantes incluyen Europol, el FBI y la Agencia Nacional del Crimen del Reino Unido, junto con agencias de Canadá, Francia, Alemania, Lituania, los Países Bajos y Ucrania, informa Europol. El esfuerzo de colaboración llevó a los investigadores a tomar el management de la infraestructura de Emotet.

Fue una hazaña enorme: la botnet involucró a varios cientos de servidores ubicados en todo el mundo, todos los cuales tenían diferentes funcionalidades para administrar las computadoras de las víctimas infectadas, propagarse a nuevos objetivos, servir a otros grupos criminales y fortalecer su crimson world-wide.

Como parte de su operación, las autoridades policiales y judiciales «obtuvieron el handle de la infraestructura y la derribaron desde el interior», dijeron funcionarios de Europol escribir en una declaración. «Las máquinas infectadas de las víctimas han sido redirigidas hacia esta infraestructura controlada por las fuerzas del orden», dicen.

Emotet fue descubierto como un troyano bancario en 2014, pero evolucionó a lo largo de los años a medida que sus operadores aprendieron cómo vender a otros delincuentes. Se distribuyó a través de una botnet controlada por atacantes, que proporcionó más libertad de acción y agencia para las campañas de malware. Estos ataques generalmente se distribuían en grandes cantidades a través de correos electrónicos maliciosos, dice el líder de inteligencia de amenazas de Proofpoint, Chris Dawson, quien señala que algunas campañas enviaron millones de mensajes por día.

«Lo que hace que Emotet sea particularmente peligroso para las organizaciones es que ha sido la foundation principal para la implementación futura de otros troyanos bancarios y herramientas utilizadas para implementar ataques de ransomware dirigidos», dice Dawson.

Los operadores utilizaron una variedad de señuelos para convencer a las víctimas de que abrieran archivos adjuntos maliciosos Los correos electrónicos de Emotet han aparecido como facturas, avisos de envío e información de COVID-19. Un archivo de Word malicioso puede aparecer adjunto a un correo electrónico o puede descargarse haciendo clic en un enlace. Se pedirá a las víctimas que hagan esto que «habiliten macros» al hacerlo, se instalaría Emotet en su dispositivo.

Emotet llegó a existir en varias versiones diferentes e incorpora un diseño modular, lo que dificultaba la identificación y el bloqueo de los defensores. Algunas iteraciones de Emotet robaron credenciales bancarias y datos empresariales confidenciales, que los atacantes podrían amenazar con publicar. Los operadores usaban servidores de comando y manage para recibir actualizaciones y luego ajustar su código La naturaleza polimórfica de Emotet significaba que su código cambiaba con frecuencia.

La infraestructura de la botnet actuó como un «abridor de puerta principal» para los sistemas informáticos de todo el mundo, dice Europol. Una vez que los atacantes tenían un punto de apoyo, su acceso se vendía a otros delincuentes que luego podían llevar troyanos bancarios, ladrones de información o ransomware a una máquina objetivo.

«Al especializarse en superar desafíos, obtener acceso inicial y luego vender el acceso a otros, este grupo permitió el ciberdelito grave en todo el mundo e impulsó el éxito de la empresa legal worldwide», dice el investigador de Kaspersky Kurt Baumgartner.

La Policía Nacional Holandesa, mientras investigaba a Emotet, descubrió una foundation de datos que contenía direcciones de correo electrónico, nombres de usuario y contraseñas robadas por la botnet. Las personas pueden acceder a su sitio web para determinar si su información se ha visto afectada.

¿Se fue para siempre?
Después de la eliminación, los dispositivos infectados con Emotet serán redirigidos a la infraestructura controlada por las fuerzas del orden. Esto limitará la propagación de Emotet ya que los operadores no podrán vender el acceso a las máquinas. Parece que los funcionarios tomarán más medidas para eliminar Emotet.

Un nuevo reporte de los estados de ZDNet, las autoridades de los Países Bajos planean desinstalar Emotet en masa de los hosts infectados a finales de este año dos de sus tres centros C2 primarios están ubicados dentro de las fronteras del país, informan las autoridades.

Dada la extensión de estas operaciones de eliminación, existe la posibilidad de que Emotet no resurja. Pero no sería la primera vez que una botnet sobrevive a importantes esfuerzos de interrupción: Trickbot logró continuar operando luego de un esfuerzo coordinado para eliminar su infraestructura el año pasado.

Baumgartner dice que «queda por ver» si esto es efectivo a largo plazo. La aplicación de la ley ucraniana lanzó un vídeo de agentes que allanan un apartamento y confiscan los activos de los atacantes como parte de su operación, y dice que esto tendrá un impacto más severo.

«Sin embargo, no sabemos cuántas partes de este grupo quedan fuera del alcance de los grupos policiales que cooperan, por lo que no sabemos si los jefes de la organización potencialmente reconstruirán con nuevo own técnico y de operaciones en semanas o meses». » el explica. Los funcionarios deberán ver cuánta infraestructura permanece intacta, ya que puede haber riesgo de daños mayores.

En lugar de que otros criminales reemplacen a este grupo, Baumgartner anticipa que es más probable que se reclute nuevo personal y se reconstruyan sus esfuerzos. Existe una menor posibilidad de que surja otro grupo para recrear las técnicas y conexiones de Emotet dentro de la comunidad prison.

Si bien la eliminación es una buena noticia para la comunidad de seguridad, Dawson insta a las empresas a que no bajen la guardia. Aconseja actualizar los protocolos de seguridad para cualquier cambio futuro y aumentar la conciencia de seguridad sobre amenazas como Emotet. Europol, de manera very similar, aconseja actualizar los sistemas operativos y antivirus, y evitar abrir archivos adjuntos de remitentes desconocidos.

«Si un mensaje parece demasiado bueno para ser verdad, es probable que lo sea y los correos electrónicos que imploran un sentido de urgencia deben evitarse a toda costa», dicen los funcionarios.

Kelly Sheridan es la editora de particular de Dim Reading, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial