EMOTET ha sido uno de los servicios más profesionales y duraderos de la ciberdelincuencia.
Las autoridades policiales y judiciales de todo el mundo han desbaratado esta semana una de las redes de bots más importantes de la última década: EMOTET. Los investigadores han tomado el control de su infraestructura en una acción internacional coordinada, informa Europol en un comunicado.
Esta operación es el resultado de un esfuerzo de colaboración entre las autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, con una actividad internacional coordinada por Europol y Eurojust. Esta operación se llevó a cabo en el marco de la Plataforma Europea Multidisciplinar contra las Amenazas Criminales (EMPACT).
EMOTET ha sido uno de los servicios más profesionales y
duraderos de la ciberdelincuencia. Descubierto por primera vez como un troyano
bancario en 2014, el malware evolucionó hasta convertirse en la solución a la
que recurrían los ciberdelincuentes a lo largo de los años. La infraestructura
de EMOTET actuaba esencialmente como una puerta de entrada a los sistemas
informáticos a escala mundial. Una vez establecido este acceso no autorizado,
se vendía a otros grupos criminales de alto nivel para desplegar otras actividades
ilícitas como el robo de datos y la extorsión a través de ransomware.
Propagación a través de documentos de Word
El grupo EMOTET consiguió llevar el correo electrónico como vector de ataque a un nivel superior. A través de un proceso totalmente automatizado, el malware EMOTET llegaba a las computadoras de las víctimas a través de archivos adjuntos de correo electrónico infectados. Se utilizó una variedad de señuelos diferentes para engañar a los usuarios desprevenidos para que abrieran estos archivos adjuntos maliciosos. Hasta ahora, las campañas de correo electrónico de EMOTET también se presentaban como facturas, avisos de envío e información sobre COVID-19.
Todos estos correos electrónicos contenían documentos de
Word maliciosos, adjuntos al propio correo electrónico o que se podían
descargar haciendo clic en un enlace dentro del propio correo electrónico. Una
vez que el usuario abría uno de estos documentos, se le pedía que “habilitara
las macros” para que el código malicioso oculto en el archivo de Word pudiera
ejecutarse e instalar el malware EMOTET en el PC de la víctima.
Ataques por encargo
EMOTET ha sido mucho más que un simple malware. Lo que hizo que EMOTET fuera tan peligroso es que el malware se ofrecía en alquiler a otros ciberdelincuentes para instalar otros tipos de malware, como troyanos bancarios o ransomwares, en el ordenador de la víctima.
Este tipo de ataque se denomina operación “loader”, y según se afirma, EMOTET es uno de los mayores actores del mundo del cibercrimen, ya que otros operadores de malware como TrickBot y Ryuk se han beneficiado de él.
Su forma única de infectar las redes mediante la
propagación lateral de la amenaza después de obtener acceso a unos pocos
dispositivos de la red lo convirtió en uno de los programas maliciosos más
resistentes que existen.
La infraestructura de EMOTET, desbaratada
La infraestructura que utilizaba EMOTET incluía varios cientos de servidores ubicados en todo el mundo, todos ellos con diferentes funcionalidades para controlar los equipos de las víctimas infectadas, propagarse a otros nuevos, servir a otros grupos criminales y, en definitiva, hacer la red más resistente a los intentos de desmantelamiento.
Para desbaratar radicalmente la infraestructura de
EMOTET, las fuerzas del orden se unieron para crear una estrategia operativa
eficaz. El resultado fue la acción de esta semana, en la que las fuerzas del
orden y las autoridades judiciales se hicieron con el control de la
infraestructura y la derribaron desde dentro. Las máquinas infectadas de las
víctimas han sido redirigidas hacia esta infraestructura controlada por las
fuerzas del orden. Se trata de un enfoque único y novedoso para interrumpir
eficazmente las actividades de los facilitadores de la ciberdelincuencia.
Cómo protegerse de los cargadores
Muchas botnets como EMOTET son de naturaleza polimórfica. Esto significa que el malware cambia su código cada vez que es llamado. Dado que muchos programas antivirus analizan el ordenador en busca de códigos de malware conocidos, un cambio de código puede dificultar su detección, permitiendo que la infección pase inicialmente desapercibida.
Una combinación de herramientas de ciberseguridad actualizadas (antivirus y sistemas operativos) y de concienciación en materia de ciberseguridad es esencial para evitar ser víctima de botnets sofisticados como EMOTET. Los usuarios deben revisar cuidadosamente su correo electrónico y evitar abrir mensajes y, especialmente, archivos adjuntos de remitentes desconocidos. Si un mensaje parece demasiado bueno para ser verdad, es probable que lo sea, y los correos electrónicos que impliquen un sentido de urgencia deben evitarse a toda costa.
En el marco de la investigación criminal llevada a cabo por la Policía Nacional de los Países Bajos sobre EMOTET, se descubrió una base de datos que contenía direcciones de correo electrónico, nombres de usuario y contraseñas robadas por EMOTET. Puede comprobar si su dirección de correo electrónico ha sido comprometida. Como parte de la estrategia global de remediación, para iniciar la notificación a los afectados y la limpieza de los sistemas, se distribuyó información a nivel mundial a través de la red de los llamados Equipos de Respuesta a Emergencias Informáticas (CERT).
Adolf Streda, analista de malware de
Avast, comentó a Diario TI: “El desmantelamiento de Emotet supone un hito muy
relevante en la lucha contra la ciberdelincuencia. Emotet ha sido como una
navaja suiza, por sus múltiples habilidades para robar contraseñas, sustraer
dinero de cuentas bancarias y agregar los dispositivos de las victimas a las
redes de bots, para lanzar así más campañas de phishing. Este malware ha
utilizado potentes métodos de ocultación para evitar ser neutralizado por los
antivirus, y ha sido ofrecido por sus creadores como servicio de malware a
otros ciberdelincuentes. Ver la desarticulación de este malware por parte de
las autoridades competentes es una noticia muy positiva para el mundo de la
ciberseguridad teniendo en cuenta su amplio alcance y la gran cantidad de
familias de malware reconocidas atribuidas a su infraestructura”.
Fuente: DiarioTI
