Eliminación de emotet: celebración a corto plazo, a largo plazo …



Los investigadores de seguridad examinan cómo y cuándo pueden reaparecer los operadores de Emotet y las amenazas que podrían evolucionar mientras tanto.

Emotet sufrió un gran revés hace casi dos semanas cuando una colaboración internacional de aplicación de la ley interrumpió su infraestructura. Pero los investigadores de seguridad advierten que el malware y sus operadores aún pueden resultar una amenaza, y su eliminación puede dar a otros atacantes la oportunidad de crecer.

El derribo no fue una tarea fácil: autoridades como Europol, el FBI y la Agencia Nacional contra el Crimen del Reino Unido, junto con agencias de Canadá, Francia, Alemania, Lituania, los Países Bajos y Ucrania, se unieron para derribar a uno de los países más prolíficos del mundo. y botnets peligrosas.

A diciembre de 2020, Emotet period el malware más popular del mundo y afectaba al 7% de las organizaciones a nivel mundial. Investigación de Test Issue encontró. Su presencia masiva lo convirtió en un vector atractivo para los atacantes que querían implementar campañas generalizadas de malware y ransomware.

«Emotet, en cierto modo, fue, con mucho, la botnet más exitosa jamás inventada», dice Lotem Finkelsteen, jefe de inteligencia de amenazas de Check Issue. Varios factores impulsaron el crecimiento de la botnet: sus tácticas para infectar dispositivos que ampliaron su foundation de infección la capacidad de los atacantes para adaptar los ataques de phishing a los eventos actuales y el uso de dispositivos infectados por parte de los atacantes para enviar spam a través de una crimson corporativa.

Cuando intervino la policía, Emotet involucró a varios cientos de servidores en todo el mundo. La botnet había infectado a más de 1,6 millones de máquinas y causado daños por cientos de millones de dólares, dijo el Departamento de Justicia. informó tras su interrupción.

Ahora, los funcionarios han tomado el management de la infraestructura de Emotet y la han derribado desde adentro. Los dispositivos infectados se han redirigido a la infraestructura controlada por las fuerzas del orden, lo que limitará la propagación de Emotet porque los atacantes no podrán vender el acceso a las computadoras afectadas.

«Las operaciones actuales están en su mayoría interrumpidas, las operaciones que estaban en el futuro cercano están, por supuesto, interrumpidas … En ese sentido, hay una gran victoria», dice Stefano DiBlasi, investigador de amenazas de Electronic Shadows. Los expertos coinciden en que la eliminación de Emotet es una buena noticia para la comunidad de seguridad sin embargo, siguen preocupados por lo que podría suceder en el futuro.

Esta no es la primera vez que vemos la interrupción de una importante botnet. Unos meses antes de la operación Emotet, las empresas de seguridad y los grupos financieros colaboraron para interrumpir Trickbot. Pero los efectos no duraron poco después, la actividad de la botnet demostró su resistencia a los derribos.

Emotet Down: lo que esto significa para el presente

¿Emotet podría volver de la misma forma? Los expertos no lo creen porque esta operación de aplicación de la ley fue más completa e involucró una mayor participación de las autoridades globales. Es possible que la interrupción de Emotet tenga un efecto a largo plazo en las operaciones de la botnet. Aún así, los expertos no creen que hayamos escuchado al último de estos atacantes, a pesar de la pérdida de su pink.

«Creemos que los propios actores, los cerebros detrás de esta operación, todavía son libres, pero su capacidad para controlar sus sistemas o su foundation de infección se limita a ninguna», dice Finkelsteen, quien señala que esta gran pink de computadoras infectadas fue «el activo de Emotet».

Por ahora, el derribo ha interrumpido las operaciones globales de Emotet.

«Creo que a corto plazo, el hecho de que sea un cargador es en realidad un multiplicador de fuerza en términos de la fuerza del impacto que están recibiendo», dice Etay Maor, director senior de estrategia de seguridad de Cato Networks. Los operadores de Emotet no pueden vender acceso y no pueden implementar ransomware o malware. Espera que, a corto plazo, esto contribuya a una disminución del ransomware y del pago por infección.

Para aquellos que se han infectado con Emotet o que temían una infección, la eliminación es una buena noticia. Esta operación probablemente también le dio a las fuerzas del orden público una mayor comprensión de cómo funciona Emotet, lo que puede contribuir a esfuerzos duraderos para eliminar la botnet.

Desafortunadamente, la ausencia de Emotet también puede resultar beneficiosa para otras amenazas activas, señala Finkelsteen. Los atacantes que compraron acceso a los atacantes de Emotet probablemente buscarán otras botnets para lograr sus objetivos. Existe una gran demanda de este tipo de servicio.

«No hay vacío en el panorama de las amenazas cibernéticas», dice. «Ahora que Trickbot no puede comprar ninguna computadora o crimson infectada de Emotet, no significa que no buscarán otras redes de bots para hacer eso».

Qbot y Dridex son dos ejemplos de botnets conocidas con grandes bases de infección que podrían satisfacer la gran demanda. Qbot es muy related a Emotet, continúa sus atacantes también aprovechan las tendencias del correo electrónico para desarrollar ataques de phishing. Dridex es una amenaza poderosa, y Finkelsteen señala que ya se está utilizando para colaborar con operadores de ransomware, una tendencia que podría continuar.

«Quizás más operadores de ransomware se unan a Dridex e intenten replicar el éxito que tuvieron con Emotet», dice.

Qué significa esto para el futuro

Mientras que otros atacantes pueden intentar llenar el espacio dejado por el derribo de Emotet, los expertos están de acuerdo en que eventualmente veremos a sus operadores resurgir, pero su actividad probablemente tomará una forma diferente.

«Cuando se trata de largo plazo, tenemos que tener en cuenta varios factores», dice DiBlasi de Electronic Shadows. «El primero y más importante es que los operadores detrás de Emotet todavía existen». Oficiales hechos algunos arrestos durante su operación, pero es possible que la gran mayoría de los atacantes permanezcan libres y tengan las habilidades para reconstruir una amenaza.

Los operadores de Emotet tienen el conocimiento, la experiencia y las técnicas para volver a estar activos, así como conexiones dentro de la comunidad criminal. El regreso no será rápido, dice Finkelsteen, quien cree que podemos ver su oficio quizás dentro de un año, y no se verá igual. Tomará mucho más tiempo reconstruir la foundation de infección de Emotet, si es que alguna vez pueden volver a alcanzar ese nivel.

«Para poder crecer ellos mismos como lo hicieron con Emotet, creo que tendrían que idear algo que evade los productos de seguridad administrados eso no facilita la vida a los investigadores», agrega. Emotet tiene que aprender de este derribo para evitar uno futuro.

Esto significa que no es possible que use herramientas de seguridad estándar y otros productos conocidos a largo plazo, dice DiBlasi. Si bien «ciertamente es posible», está de acuerdo con que los operadores de Emotet tendrán que cambiar sus tácticas si quieren regresar. Se pueden detectar herramientas de ataque conocidas y, aunque pueden implementar malware a corto plazo, no ayudarán mucho a Emotet a largo plazo.

Este derribo es una victoria para las fuerzas del orden y la comunidad de seguridad sin embargo, es basic continuar interrumpiendo amenazas como estas. Emotet no es la última gran amenaza a la que se enfrentarán las empresas.

«Creo que lo más importante que vimos es que no hay vacío», dice Finkelsteen. «Si bien es un gran éxito para las fuerzas del orden, debemos elegir el próximo objetivo. Necesitamos atraparlo antes de que sea demasiado grande».

Kelly Sheridan es la editora de particular de Dim Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial