Cómo un esfuerzo world de aplicación de la ley derribó la botnet Emotet


Un esfuerzo conjunto en EE. UU. Y Europa provocó la interrupción de Emotet y el arresto de dos pandilleros, dice Digital Shadows.

emotet-takedown-europol.jpg

Imagen: Europol

Acabar con una amenaza de malware worldwide y los ciberdelincuentes detrás de ella es un gran desafío. El esfuerzo no solo requiere ingenio, planificación y sigilo, sino también acción coordinada en una variedad de empresas y países. UN informe publicado el miércoles por la firma de seguridad Electronic Shadows analiza cómo se orquestó tal esfuerzo para acabar aparentemente con el infame malware Emotet.

VER: 10 formas de minimizar las infecciones de malware sin archivos (PDF gratuito) (TechRepublic)

El 27 de enero, la Agencia de la Unión Europea para la Cooperación en materia de Aplicación de la Ley (Europol) reveló que una coalición global de autoridades policiales y judiciales en varios países había interrumpido Emotet a través de un esfuerzo conocido como «Operación Mariquita».

Al indagar en la infraestructura de Emotet, las empresas y agencias involucradas lograron redirigir las computadoras de las víctimas de la notoria botnet a una controlada por la policía. Europol calificó el esfuerzo como una «forma nueva y única» de interrumpir este tipo de actividades delictivas cibernéticas.

Los involucrados en el proceso se hicieron cargo de varios de los sistemas de comando y manage (C2) utilizados por la banda Emotet para redirigir el tráfico malicioso, según Electronic Shadows. Conocido como Sumidero de DNS, esta acción intenta evitar que los atacantes se comuniquen con los dispositivos infectados y es un paso elementary para acabar con una botnet como esta.

Un online video descubierto por Digital Shadows muestra una agencia de aplicación de la ley de Ucrania asaltando a los operadores de Emotet. En el video, los agentes confiscan equipos informáticos, lingotes de oro y divisas.

El siguiente paso recae en los agentes de la ley alemanes que implementarán una actualización de Emotet el 25 de abril para eliminar el malware de todos los dispositivos infectados y evitar nuevas comunicaciones. Esperar hasta finales de abril dará a las agencias más tiempo para investigar sistemas comprometidos adicionales.

Después del anuncio de la Operación Ladybird, Digital Shadows dijo que revisó varios foros clandestinos para ver cómo reaccionaban otros ciberdelincuentes a la noticia. Algunos comentaristas se quejaron de la falta de detalles en el comunicado de prensa de Europol. Quizás esperaban obtener más consejos de expertos sobre cómo evadir la aplicación de la ley y evitar el destino de Emotet.

Una persona dijo que «cuanto más trabajas, más huellas hay». La implicación aquí es que, aunque los ciberdelincuentes intentan ocultar sus huellas, cuanto más tiempo juegues a este peligroso juego, es más possible que finalmente te atrapen.

Por supuesto, Emotet puede estar deprimido por ahora, pero ¿realmente se ha ido? El malware y los operadores malintencionados tienen la mala costumbre de reaparecer incluso después de un golpe devastador.

En octubre pasado, un grupo de empresas tecnológicas se unió para acabar con la botnet TrickBot antes de las elecciones presidenciales de Estados Unidos. Pero hoy, TrickBot está una vez más vivo y coleando y responsable de nuevos ataques de phishing y malware. Como tal, un comentarista descubierto por Digital Shadows dijo que queda por ver si Emotet está realmente fuera de lugar.

En base a incidentes pasados, es probable que Emotet regrese, tal vez en alguna forma o forma nueva. Pero, como señala Digital Shadows, el enfoque nuevo y único utilizado en Operation Ladybird asestó un golpe devastador a la operación de la botnet. Cualquier tipo de resurgimiento será difícil de lograr.

Mientras tanto, los usuarios no deben bajar la guardia. Las máquinas comprometidas por Emotet aún pueden ejecutar otras variantes de malware, incluidos TrickBot y QakBot. Y dado que el malware Emotet no se eliminará de los sistemas infectados hasta finales de abril, estas máquinas aún podrían ser vulnerables por ahora.

Ver también



Enlace a la noticia first