Hablemos del malware Emotet
Es posible que haya oído hablar de Emotet en las noticias. ¿Qué es? ¿Un antiguo rey egipcio, la banda emo favorita de tu hermana adolescente?. Nos tememos que no.
El troyano bancario Emotet fue identificado por primera vez por investigadores de seguridad en 2014. Emotet fue diseñado originalmente como un malware bancario que intentaba colarse en tu ordenador y robar información sensible y privada. Las versiones posteriores del software vieron la adición de servicios de envío de spam y malware, incluyendo otros troyanos bancarios.
Emotet utiliza una funcionalidad que le permite evadir la detección de algunos productos antimalware. Emotet utiliza capacidades de tipo gusano para ayudar a propagarse a otros ordenadores conectados. Esto ayuda a la distribución del malware. Esta funcionalidad ha llevado al Departamento de Seguridad Nacional a concluir que Emotet es uno de los programas maliciosos más costosos y destructivos, que afecta a los sectores público y privado, a individuos y a organizaciones, y cuya limpieza cuesta más de un millón de dólares por incidente.
¿Qué es Emotet?
Emotet es un troyano que se propaga principalmente a través de correos electrónicos de spam (malspam). La infección puede llegar a través de un script malicioso, archivos de documentos habilitados para macros o un enlace malicioso.
Los correos electrónicos de Emotet pueden contener marcas familiares diseñadas para parecer un correo legítimo. Emotet puede intentar persuadir a los usuarios para que hagan clic en los archivos maliciosos utilizando un lenguaje tentador sobre «su factura», «detalles de pago» o posiblemente un próximo envío de conocidas empresas de paquetería.
Emotet ha pasado por varias iteraciones. Las primeras versiones llegaron como un archivo JavaScript malicioso. Las versiones posteriores evolucionaron para utilizar documentos habilitados para macros para recuperar la carga útil del virus desde servidores de comando y control (C&C) dirigidos por los atacantes.
Emotet utiliza una serie de trucos para intentar evitar la detección y el análisis. En particular, Emotet sabe si se está ejecutando dentro de una máquina virtual (VM) y permanecerá inactivo, si detecta un entorno sandbox, que es una herramienta que utilizan los investigadores de ciberseguridad para observar el malware dentro de un espacio seguro y controlado.
Emotet también utiliza servidores C&C para recibir actualizaciones. Esto funciona de la misma manera que las actualizaciones del sistema operativo en su PC y puede ocurrir sin problemas y sin ningún signo externo.
Esto permite a los atacantes instalar versiones actualizadas del software, instalar malware adicional, como otros troyanos bancarios, o actuar como un vertedero de información robada, como credenciales financieras, nombres de usuario y contraseñas, y direcciones de correo electrónico.
¿Cómo se propaga Emotet?
El principal método de distribución de Emotet es el malspam. Emotet saquea tu lista de contactos y se envía a tus amigos, familiares, compañeros de trabajo y clientes. Como estos correos electrónicos proceden de su cuenta de correo electrónico secuestrada, los correos electrónicos parecen menos spam y los destinatarios, al sentirse seguros, están más inclinados a hacer clic en las URLs malas y a descargar los archivos infectados.
Si hay una red conectada, Emotet se propaga utilizando una lista de contraseñas comunes, adivinando su camino hacia otros sistemas conectados en un ataque de fuerza bruta. Si la contraseña del importante servidor de recursos humanos es simplemente «contraseña», es probable que Emotet se abra paso hasta allí.
Los investigadores pensaron inicialmente que Emotet también se propagaba utilizando las vulnerabilidades EternalBlue/DoublePulsar, responsables de los ataques WannaCry y NotPetya. Ahora sabemos que este no es el caso. Lo que llevó a los investigadores a esta conclusión fue el hecho de que TrickBot, un troyano que a menudo se propaga por Emotet, hace uso del exploit EternalBlue para propagarse por una determinada red. Fue TrickBot, y no Emotet, quien se aprovechó de las vulnerabilidades EternalBlue/DoublePulsar.
¿Cuál es la historia de Emotet?
Identificado por primera vez en 2014, Emotet sigue infectando sistemas y perjudicando a los usuarios hasta el día de hoy, razón por la cual seguimos hablando de él, a diferencia de otras tendencias de 2014 (¿alguien quiere el Ice Bucket Challenge?).
La primera versión de Emotet estaba diseñada para robar datos de cuentas bancarias interceptando el tráfico de Internet. Poco después, se detectó una nueva versión del software. Esta versión, bautizada como Emotet versión dos, venía empaquetada con varios módulos, entre ellos un sistema de transferencia de dinero, un módulo de malspam y un módulo bancario dirigido a bancos alemanes y austriacos.
«Las versiones actuales del troyano Emotet incluyen la capacidad de instalar otro malware en las máquinas infectadas. Este malware puede incluir otros troyanos bancarios o servicios de entrega de malspam.»
En enero de 2015, una nueva versión de Emotet apareció en escena. La tercera versión contenía modificaciones sigilosas diseñadas para mantener el malware bajo el radar y añadía nuevos objetivos bancarios suizos.
Avancemos hasta 2018: las nuevas versiones del troyano Emotet incluyen la capacidad de instalar otro malware en las máquinas infectadas. Este malware puede incluir otros troyanos y ransomware. Un ejemplo, un ataque de Emotet en julio de 2019 en Lake City, Florida, le costó a la ciudad 460.000 dólares en pagos de ransomware, según Gizmodo. Un análisis de la huelga encontró que Emotet sirvió solo como el vector de infección inicial. Una vez infectado, Emotet descargó otro troyano bancario conocido como TrickBot y el ransomware Ryuk.
Después de estar relativamente tranquilo durante la mayor parte de 2019, Emotet volvió con fuerza. En septiembre de 2019, Malwarebytes Labs informó sobre una campaña de spam impulsada por la red de bots dirigida a víctimas alemanas, polacas, italianas e inglesas con líneas de asunto astutamente redactadas como «Aviso de pago de remesas» y «Factura vencida.» Al abrir el documento de Microsoft Word infectado, se inicia una macro, que a su vez descarga Emotet desde los sitios de WordPress comprometidos.
¿A quién se dirige Emotet?
Todo el mundo es un objetivo para Emotet. Hasta la fecha, Emotet ha atacado a particulares, empresas y entidades gubernamentales de Estados Unidos y Europa, robando los datos de acceso bancario, los datos financieros e incluso los monederos de Bitcoin.
Un ataque notable de Emotet a la ciudad de Allentown, PA, requirió la ayuda directa del equipo de respuesta a incidentes de Microsoft para limpiarlo y, según se informa, le costó a la ciudad más de 1 millón de dólares para arreglarlo.
Ahora que Emotet se utiliza para descargar y distribuir otros troyanos bancarios, la lista de objetivos es potencialmente aún más amplia. Las primeras versiones de Emotet se utilizaron para atacar a clientes bancarios en Alemania. Las versiones posteriores de Emotet se dirigieron a organizaciones de Canadá, Reino Unido y Estados Unidos.
«Un ataque notable de Emotet a la ciudad de Allentown (Pensilvania) requirió la ayuda directa del equipo de respuesta a incidentes de Microsoft para limpiarlo y, según se informa, costó a la ciudad más de un millón de dólares para solucionarlo».
¿Cómo puedo protegerme de Emotet?
Ya está dando el primer paso para protegerse a sí mismo y a sus usuarios de Emotet al aprender cómo funciona. A continuación, le indicamos algunas medidas adicionales que puede tomar:
Mantenga su ordenador o puntos finales actualizados con los últimos parches para Microsoft Windows. TrickBot a menudo se entrega como una carga útil secundaria de Emotet, y sabemos que TrickBot se basa en la vulnerabilidad de Windows EternalBlue para hacer su trabajo sucio, así que parchee esa vulnerabilidad antes de que los ciberdelincuentes puedan aprovecharla.
No descargue archivos adjuntos sospechosos ni haga clic en enlaces de aspecto sospechoso. Emotet no puede conseguir ese punto de apoyo inicial en su sistema o red si evita esos correos electrónicos sospechosos. Tómese el tiempo necesario para educar a sus usuarios sobre cómo detectar el malspam.
Infórmese a sí mismo y a sus usuarios sobre la creación de una contraseña segura. Y de paso, empiece a utilizar la autenticación de dos factores.
Puede protegerse a sí mismo y a sus usuarios de Emotet con un sólido programa de ciberseguridad que incluya una protección multicapa. Los productos Malwarebytes para empresas y consumidores premium detectan y bloquean Emotet en tiempo real.
¿Cómo puedo eliminar Emotet?
Si sospecha que ya ha sido infectado por Emotet, no se asuste.
Si su ordenador está conectado a una red, aíslelo inmediatamente.
Una vez aislado, proceda a parchear y limpiar el sistema infectado.
Pero aún no ha terminado. Debido a la forma en que Emotet se propaga por la red, un ordenador limpio puede volver a infectarse al conectarse de nuevo a una red infectada.
Limpie cada ordenador de su red uno por uno.
Es un proceso tedioso, pero las soluciones empresariales de Malwarebytes pueden facilitarlo, aislando y reparando los puntos finales infectados y ofreciendo una protección proactiva contra futuras infecciones de Emotet.
