Emotet es un conocido troyano bancario que apareció por primera vez en 2014, cuando fue identificado por analistas de amenazas. Desde entonces, se ha convertido en una pieza de malware de gran éxito, descrito como «uno de los programas maliciosos más costosos y destructivos» que afectan a las organizaciones.
En 2021, Emotet ha vuelto a aparecer repentinamente en todos los sitios y foros de noticias de ciberseguridad. Después de años de investigaciones y un esfuerzo de colaboración entre las autoridades de Alemania, EE. UU., Países Bajos, Francia, Reino Unido, Lituania, Canadá y Ucrania, coordinados por Europol y Eurojust, la infraestructura de Emotet ha sido derribada.
Es probable que esto tenga consecuencias duraderas y significativas para la industria de la ciberseguridad. En este artículo, veremos qué es Emotet y cómo puedes asegurarte de que tu organización esté protegida contra amenazas de malware sofisticadas.
Indice
¿Qué es Emotet?
Emotet es un troyano (un tipo de software malicioso que se disfraza de algo inofensivo) que se propaga principalmente a través de correos electrónicos no deseados.
En un ataque típico de Emotet, un servidor malicioso enviará correos electrónicos peligrosos de forma masiva a tantos usuarios como sea posible, maximizando el número de objetivos.
Los correos electrónicos utilizan una forma de ingeniería social para intentar engañar a los usuarios para que abran un archivo adjunto de correo electrónico o hagan clic en una URL. Esto puede incluir el uso de una marca conocida, como disfrazar el correo electrónico como un mensaje de Microsoft o Google, o usar un lenguaje emotivo, como «Haga clic aquí para ver su aumento de salario».
Estos correos electrónicos pueden ser muy efectivos, especialmente cuando los ataques aprovechan los eventos actuales. Cuando un usuario abre el archivo adjunto malicioso o hace clic en la URL dañina, el troyano Emotet comenzará a descargarse en el dispositivo de la víctima.
A través de este medio, la infección puede transmitirse de varias formas:
- scripts maliciosos,
- enlaces de phishing,
- archivos de documentos habilitados para macros.
Evolución
El actor detrás de Emotet es un grupo de hackers conocido como Mealybug. Desde que comenzaron en 2014 con la primera y más simple versión del troyano, han convertido su operación en una exitosa pista de crimeware que proporciona Malware-as-a-Service (MaaS).
El grupo logró esto mediante la creación de una botnet de computadoras infectadas en la infraestructura de malware Emotet, a la que luego vendieron el acceso. La botnet se ejecuta desde tres grupos de servidores conocidos como Epoch 1, Epoch 2 y Epoch 3. Alquilaron este marco a varias empresas de ransomware, incluida la infame banda Ryuk.
Desde el lanzamiento de Emotet en 2014, el malware ha pasado por algunas iteraciones. La primera versión del malware utilizó un archivo JavaScript y luego evolucionó hacia el uso de documentos habilitados para macros para descargar de forma remota el virus desde un centro de comando y control (C&C) dirigido por los actores maliciosos.
La última versión de Emotet tenía técnicas de ofuscación integradas en su código para evitar la detección y el análisis posterior. Una de las principales técnicas que utilizan los investigadores de malware para analizar y diseccionar código es ejecutar ese código en un entorno de zona de pruebas.
La ejecución del código en un entorno de caja de arena permite que el código se ejecute de forma segura, sin posibilidad de propagarse a las redes conectadas, y controlar la velocidad de ejecución para analizar cada paso en la ejecución del código. Emotet tenía medidas para detectar que se estaba ejecutando en un entorno virtual (una caja de arena) y permanecer inactivo, lo que dificulta mucho que las soluciones de ciberseguridad bloqueen archivos y URL que contienen el virus Emotet.
En 2018 , Emotet evolucionó a partir de un malware tradicional de caballo de Troya ino, lo que se conoce como «gotero». Esto significa que Emotet, además de infectar los sistemas, envía y descarga otros troyanos y ransomware en los sistemas informáticos.
Por lo tanto, un ataque de Emotet podría provocar el robo de datos sin conocimiento y que un individuo, empresa u otra organización sea víctima de ransomware. Se cree que esto ocurre cuando los creadores de Emotet «arriendan» su software a otros delincuentes. Los delincuentes pagan por el malware para ayudarlos a obtener acceso a los datos y conservar el 100% de las ganancias de su ransomware u otro malware.
Para 2019 , se estaba utilizando como botnets para dirigirse a un mayor número de personas y organizaciones, en particular bancos de toda Europa y Estados Unidos.
A partir de 2020 , Emotet sigue activo, detectándose campañas durante todo el año. A finales de 2020, se descubrió que el malware se distribuía desde alrededor de 50.000 dominios aparcados. Estos dominios estacionados son dominios recientemente registrados y estacionados inmediatamente o dominios existentes en buen estado que el propietario anterior no renovó.
¿Cómo funciona?
Emotet generalmente se propaga a través de los sistemas de correo electrónico al secuestrar cuentas y enviar correos electrónicos maliciosos.
Una vez que el malware está en tu sistema, escanea tu bandeja de entrada y tu lista de contactos de correo electrónico. Luego, puede responder a mensajes de correo electrónico genuinos con archivos adjuntos o enlaces maliciosos. Este es otro factor que hace que Emotet sea más peligroso que los correos electrónicos de estafa de phishing tradicionales, que a menudo son fáciles de detectar ya que se envían al azar desde una fuente desconocida.
A medida que las personas de tu lista de contactos reciben lo que parece una respuesta genuina, a un correo electrónico que realmente enviaron, es más probable que lo abran y hagan clic en el archivo adjunto o enlace. Si lo hacen, el malware puede infectar su sistema, robar datos, instalar otro malware y repetir el proceso con la cuenta de correo electrónico de esa persona.
Emotet es difícil de detectar debido a cómo está escrito, lo que le ayuda a sortear la mayoría de los productos antivirus. Un virus tradicional usa la misma “firma” de código cada vez que intenta establecerse en su sistema. Por lo tanto, siempre que tu software antivirus sepa qué firma buscar, puede bloquear estos virus.
Por el contrario, Emotet es lo que se conoce como un tipo de virus polimórfico. Esto significa que la “firma” del malware cambia en cada máquina en la que se instala y el software antivirus no puede detectarlo. Emotet también detecta cuándo se está ejecutando en una máquina virtual y puede automatizarse para permanecer inactivo hasta que pueda actuar de manera efectiva.
Las descargas de Emotet de los componentes del sitio web se almacenan en entradas de registro cifradas independientes , algo que los usuarios habituales rara vez comprueban. Por lo tanto, la actividad maliciosa puede pasar desapercibida, así como evadir la detección antivirus basada en archivos.
¿Cómo se propaga?
El malware Emotet se infiltra en las computadoras a través de un componente de distribución de red que consta de varios módulos de distribución . Cinco módulos esparcidores conocidos alimentan el malware según los hallazgos:
- NetPass.exe, una herramienta legítima de recuperación de contraseñas desarrollada por NirSoft. Puede recuperar todas las contraseñas almacenadas en un sistema para un usuario que inició sesión, así como las que se guardan en unidades externas.
- WebBrowserPassView, otra herramienta de recuperación de contraseñas que opera en la mayoría de los navegadores web conocidos. La lista incluye Google Chrome, Internet Explorer, Mozilla Firefox, Opera y Safari.
- MailPassView, una tercera herramienta de recuperación de contraseñas que recopila información de proveedores de correo electrónico populares como Gmail, Microsoft Outlook, Hotmail, Yahoo! Mail, Windows Mail y Mozilla Thunderbird.
- Outlook scraper, una utilidad maliciosa que extrae las credenciales de las cuentas de Outlook de los usuarios y utiliza esta información para enviar más correos electrónicos de phishing.
- Un enumerador de credenciales, que es un archivo .RAR archivado autoextraíble compuesto por un componente de servicio y un componente de derivación. Aprovechando la información recopilada por los cuatro módulos mencionados anteriormente, intentará acceder a las cuentas por fuerza bruta o localizar unidades compartidas grabables con la ayuda de Server Message Block ( SMB ). Cuando finalmente encuentra un sistema disponible, escribe el componente de servicio Emotet en la red, lo que infecta todo el disco.
Ejemplos de ataques con Emotet
Emotet ha sido la causa de varios ciberataques de gran valor en los últimos años. Cinco de los más importantes son:
- Un ataque en febrero de 2018 al gobierno local en Allentown, Pensilvania, en el que se infiltraron sistemas informáticos del gobierno local. Aunque no se gastó nada en pagos de ransomware, los costes totales de reparar y mitigar los daños causados por el ataque ascendieron a más de 1 millón de dólares.
- Un ataque de julio de 2019 en la ciudad de Lake City, Florida , causó pérdidas de 460,000 dólares debido a los pagos de ransomware.
- Un ataque de mayo de 2019 contra Heise Group, una editorial con sede en Alemania. Este ataque fue causado por un empleado que abrió lo que parecía un archivo adjunto de correo electrónico legítimo. Sin embargo, no se sabe qué daños económicos, si los hubiere, se produjeron.
- Un ataque de agosto de 2020 contra el Departamento de Justicia de Quebec, en Canadá . Si bien el Departamento de Justicia declaró que no se robaron datos ni se incurrió en pérdidas financieras, el departamento recibió duras críticas por su lenta respuesta al problema. A diciembre de 2020, el departamento sigue acusado de no apreciar completamente la gravedad del ataque.
- A lo largo de septiembre de 2020, las agencias gubernamentales de Europa informaron un aumento de la actividad de Emotet y los intentos de fraude. Sin embargo, se desconoce hasta qué punto tuvieron éxito.
¿Cómo protegerte del malware Emotet?
Si bien puede parecer que el virus no ha cambiado mucho su modus operandi desde 2014, es crucial entender que es todo lo contrario. Mediante el uso de DLL, el malware Emotet ha logrado mejorar constantemente sus técnicas y sobrevivir sin fases durante más de cinco años.
Las consecuencias indeseables de la infección incluyen, entre otras:
- pérdida de datos esenciales,
- interrupción de las operaciones diarias,
- considerables costes de mitigación,
- una reputación dañada para su organización.
Por esta razón, es importante no ignorar esta amenaza a la integridad de tu empresa, incluso después de todos estos años.
A continuación, enumeramos siete puntos esenciales para tu lista de verificación de ciberseguridad que debes considerar para fortalecer tu protección contra el malware Emotet.
Utiliza una solución antivirus de próxima generación para tu empresa
Lo que hace que el malware Emotet sea tan difícil de erradicar es el hecho de que fue diseñado para evadir la detección antivirus tradicional basada en archivos. Por esta razón, necesitarás instalar un software más robusto que pueda mantenerse al día y proteger a tu organización contra las amenazas evolucionadas.
Aplica siempre actualizaciones y parches de software cuando se publiquen
Las vulnerabilidades aparecen cuando el software esencial se vuelve obsoleto. Esto crea agujeros en el sistema que pueden convertirse en puntos de entrada para todo tipo de amenazas desagradables. Por lo tanto, instalar actualizaciones cruciales tan pronto como se implementen es un paso importante para mantener una higiene cibernética adecuada en tu red comercial.
Capacita a tus empleados en phishing e ingeniería social
Como propietario de una empresa, es tu responsabilidad brindar a tu personal la capacitación adecuada sobre las prácticas de phishing e ingeniería social que hacen que el malware como Emotet sea tan exitoso. Hay algunas prácticas razonables que deben inculcarse en la cultura del lugar de trabajo de tu organización desde el principio, por ejemplo:
- no proporcionar credenciales de inicio de sesión a solicitudes sospechosas,
- evitar abrir correos electrónicos de fuentes desconocidas,
- identificar marcas falsas en los mensajes,
- comprobar el destino de un enlace antes de abrirlo,
- y siempre comprobando la validez de varias consultas.
Por supuesto, estos son procedimientos de seguridad bastante básicos, pero te llevarán lejos en términos de evitar infecciones troyanas no deseadas. Para una educación más avanzada sobre el tema, siempre tienes la opción de contar con un experto.
Crea una política para toda la empresa con respecto a los correos electrónicos sospechosos
Has educado a tus empleados sobre cómo detectar actividades ilegítimas a una milla de distancia. ¿Ahora que? La continuación natural aquí es hacerse la siguiente pregunta.
¿Tiene tu empresa una política clara que describa cómo deben reaccionar los empleados ante mensajes sospechosos? Si tu respuesta a esta pregunta es negativa, entonces es hora de considerar crear una.
Cualquier correo electrónico entrante sospechoso debe informarse al departamento de seguridad o de TI de tu empresa, dependiendo de cuál sería más adecuado para manejarlo en su jerarquía particular. A su vez, tomarán las medidas necesarias para evitar que otras consultas dudosas (y potencialmente ilegales) lleguen a tu red.
Bloquear archivos adjuntos asociados con software malicioso
Otra práctica de higiene cibernética que puedes aplicar para la seguridad en línea de tu empresa es bloquear los archivos adjuntos de correo electrónico que contienen extensiones de archivo que se asocian más comúnmente con el malware, a saber .dll y .exe. Vaya un paso más allá bloqueando las extensiones que tu antivirus no puede escanear correctamente, como .zip.
Esto puede prevenir una infección de malware Emotet, ya que el troyano depende de las bibliotecas de vínculos dinámicos en sus ataques.
Emplear un sistema de filtrado de correo electrónico
A medida que las campañas de malspam se vuelven cada vez más astutas, crece la necesidad de tu empresa de una protección avanzada del correo electrónico . Un sistema de filtrado puede ayudarte con eso. No solo debe detectae spam, sino que también identificará mensajes que contienen dominios, URL e IP maliciosos y eliminará los archivos adjuntos de malware.
Practica una gestión de acceso privilegiada adecuada
Por último, pero ciertamente no menos importante, adherirse al principio de privilegios mínimos es quizás la forma más segura de prevenir un ataque de malware Emotet. Esto implica que tu personal tiene el nivel mínimo de acceso necesario para realizar sus tareas y que las credenciales de administrador están en manos de unas pocas personas designadas.
De esta forma, los sistemas no se verán afectados por ataques dirigidos a empleados que tienen acceso limitado. No obstante, esto también puede ser contraproducente, ya que el administrador de tu red puede dedicar gran parte de su tiempo a escalar y disminuir el acceso. Además de eso, esto también podría significar que los empleados tengan que esperar varios permisos con regularidad, desperdiciando otros recursos en el proceso.
¿Qué hacer si tus sistemas se han infectado con Emotet?
Si crees que has sido afectado por una infección Emotet, haz lo siguiente:
- Elimina los sistemas potencialmente infectados de tu red.
- Verifica el sistema y elimina el malware si puedes confirmar que está presente.
- Podría ser necesario limpiar y reinstalar el sistema.
- Comprueba si hay otro ransomware y otro malware que Emotet pueda haber eliminado. Si están presentes, debes eliminarlos también.
- Verifica y limpia todos los demás sistemas de tu red. Recuerda que Emotet puede permanecer inactivo en tus sistemas. Debes invertir el tiempo para asegurarte de no tener un problema inmediatamente después de sentir que lo has solucionado.
- Una vez que hayas confirmado que el malware no está presente en tu red, reintegra el sistema en el que identificaste la infección inicial.