La acción internacional apunta a Emotet Crimeware – Krebs on Stability


Las autoridades de toda Europa dijeron el martes que habían tomado el control sobre Emotet, una variedad de malware prolífica y una operación de ciberdelito como servicio. Los investigadores dicen que la acción podría ayudar a poner en cuarentena a más de un millón Microsoft Windows sistemas actualmente comprometidos con malware vinculado a infecciones Emotet.

Emotet, que apareció por primera vez en 2014, comenzó como un troyano bancario, pero a lo largo de los años se ha convertido en una de las plataformas más agresivas para difundir malware que sienta las bases para los ataques de ransomware.

En una declaración publicado el miércoles por la mañana en una acción denominada «Operación Mariquita, ”La agencia de policía europea Europol Dijo que la investigación involucró a autoridades de Holanda, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania.

“La infraestructura de EMOTET actuó esencialmente como un abridor de puerta principal para los sistemas informáticos a escala global”, dijo Europol. “Una vez que se estableció este acceso no autorizado, estos se vendieron a otros grupos criminales de alto nivel para implementar más actividades ilícitas, como el robo de datos y la extorsión a través de ransomware”.

Los expertos dicen que Emotet es una botnet de pago por instalación que utilizan varios grupos distintos de delitos cibernéticos para implementar malware secundario, en particular la cepa de ransomware Ryuk y Trickbot, un poderoso troyano bancario. Se propaga principalmente a través de enlaces maliciosos y archivos adjuntos enviados a través de cuentas de correo electrónico comprometidas, lanzando decenas de miles de misivas con malware a diario.

Emotet se basa en varios niveles jerárquicos de servidores de command que se comunican con los sistemas infectados. Esos controladores coordinan la diseminación del malware de segunda etapa y el robo de contraseñas y otros datos, y su naturaleza distribuida está diseñada para hacer que la infraestructura del crimeware sea más difícil de desmantelar o apoderarse.

En una declaración separada sobre la adquisición de malware, la policía nacional holandesa dijo que dos de los tres servidores primarios estaban ubicados en los Países Bajos.

«Se coloca una actualización de application en los servidores centrales holandeses para todos los sistemas informáticos infectados», escribieron las autoridades holandesas. “Todos los sistemas informáticos infectados recuperarán automáticamente la actualización allí, después de lo cual la infección de Emotet se pondrá en cuarentena. Period necesaria una acción simultánea en todos los países afectados para poder desmantelar la pink de manera efectiva y frustrar cualquier reconstrucción ”.

UN declaración de la Oficina Federal de Policía Felony de Alemania sobre su participación en la Operación Ladybird dijo que los fiscales incautaron 17 servidores en Alemania que actuaban como controladores Emotet.

“Como parte de esta investigación, inicialmente se identificaron varios servidores en Alemania con los que se distribuye el software program malicioso y los sistemas de las víctimas son monitoreados y controlados mediante comunicación encriptada”, dijo la policía alemana.

Fuentes cercanas a la investigación dijeron a KrebsOnSecurity que la acción policial incluyó el arresto de varios sospechosos en Europa que se cree que están relacionados con la banda de crimeware. Se considera que el grupo principal de criminales detrás de Emotet opera fuera de Rusia.

Un comunicado de la Policía Nacional de Ucrania dice dos ciudadanos de Ucrania fueron identificados “Quien aseguró el buen funcionamiento de la infraestructura para la propagación del virus y mantuvo su buen funcionamiento”.

UN video publicado en YouTube por la NPU esta mañana muestra a las autoridades allí allanando una residencia, incautando dinero en efectivo y equipo informático, y lo que parecen ser numerosas barras grandes hechas de oro. El policía ucraniano que habla en ese online video dijo que los delincuentes detrás de Emotet han causado más de $ 2 mil millones en pérdidas a nivel mundial. Es casi seguro que sea una cifra muy conservadora.

La policía de los Países Bajos incautó grandes volúmenes de datos robados por infecciones de Emotet, incluidas direcciones de correo electrónico, nombres de usuario y contraseñas. Una herramienta en el sitio net de la policía holandesa permite a los usuarios saber si Emotet ha comprometido su dirección de correo electrónico.

Pero debido a que Emotet se united states generalmente para instalar malware adicional que se engancha profundamente en los sistemas infectados, limpiarlo después será mucho más complicado y puede requerir una reconstrucción completa de las computadoras comprometidas.

los Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. tiene etiquetado Emotet «Una de las amenazas continuas más frecuentes» que es difícil de combatir debido a sus características &#39parecidas a gusanos&#39 que permiten infecciones en toda la purple «. Por lo tanto, una sola infección de Emotet a menudo puede hacer que varios sistemas de la misma crimson se vean comprometidos.

Es demasiado pronto para decir cuán efectiva ha sido esta operación para arrebatar el command overall sobre Emotet, pero un derribo de este tamaño es una acción significativa.

En octubre, Microsoft usó la ley de marcas registradas para interrumpir la botnet Trickbot. Casi al mismo tiempo, el Comando Cibernético de EE. UU. también apuntó a Trickbot. Sin embargo, ninguna de esas acciones desmanteló por completo la pink de crimeware, que sigue en funcionamiento hoy.

Roman Hüssy, un experto suizo en tecnología de la información que mantiene Feodotracker – un sitio que enumera la ubicación de los principales controladores de botnets – le dijo a KrebsOnSecurity que antes del 25 de enero, unos 98 servidores de command Emotet estaban activos. El sitio ahora enumera 20 controladores Emotet en línea, aunque no está claro si alguno de los servidores restantes ha sido incautado como parte del esfuerzo de cuarentena.

Una lista actualizada de servidores de handle Emotet en línea. Fuente: Feodotracker.abuse.ch


Etiquetas: Emotet, Europol, Operación Ladybird, Ryuk, trickbot

Esta entrada se publicó el miércoles 27 de enero de 2021 a las 9:20 am y está archivada en Ne&#39er-Do-Well News, Ransomware.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el remaining y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia original