Botnet Emotet evidenciada tratando de reconstruir su infraestructura

Varios equipos de investigación de proveedores de seguridad han alertado de indicadores que permiten asegurar el regreso de la Botnet Emotet, una de las amenazas más latentes de los últimos años, luego que sus operaciones fueran interrumpidas en enero del 2021 por la policía internacional.

Botnet Emotet

Emotet, catalogado como el malware más peligroso del mundo, según la Royal Canadian Mounted Police (RCMP) habría infectado a más de 1,7 millones de computadoras en 226 países, incluidos 6.000 en Canadá. 

A principios del 2021 una operación coordinada por Europol y Eurojust en conjunto con la policía del Reino Unido, la UE, Estados Unidos y Canadá logró derribar a Emotet. Las autoridades lograron tomar el control de la infraestructura de Emotet y enviaron cargas útiles de limpieza a los equipos infectados.

Emotet es una infección de malware que se distribuye a través de campañas de spam con archivos adjuntos maliciosos. Si un usuario abre el archivo adjunto, las macros maliciosas o JavaScript descargarán la DLL de Emotet y la cargarán en la memoria usando PowerShell.

Una vez cargado, el malware buscará y robará correos electrónicos para usarlos en futuras campañas de spam y arrojará cargas útiles adicionales como TrickBot o Qbot que comúnmente conducen a infecciones de ransomware.

Actividad de una infección reciente por Emotet.

Investigadores de Internet Storm Center (ISC) han evidenciado algunos correos electrónicos que buscan infectar con Emotet entre los cuales se pueden distinguir tres tipos de archivos adjuntos:

• Hoja de cálculo de Microsoft Excel
• Documento de Microsoft Word
• Archivo zip protegido con contraseña (contraseña: BMIIVYHZ) que contiene un documento de Word

Todos estos correos electrónicos fueron respuestas falsas que utilizaron datos de cadenas de correo electrónico robadas, presumiblemente recopiladas de hosts de Windows previamente infectados.

Ejemplo de malspam Emotet con archivo adjunto zip protegido por contraseña.

El tráfico de infección para Emotet es similar a lo que vimos antes de la eliminación en enero de 2021. La única diferencia real es que Emotet después de la infección C2 ahora es HTTPS cifrado en lugar de HTTP no cifrado.

Emotet resurge con una nueva técnica

El investigador de Cryptolaemus y experto en Emotet Joseph Roosen explicó que han detectado una nueva técnica con la cual los atacantes intentan reconstruir Emotet utilizando la infraestructura existente de TrickBot. Los investigadores creen que los operadores necesitan reconstruir la infraestructura de Emotet desde cero.

Según Cryptolaemus, el nuevo cargador Emotet incluye nuevas capacidades diferentes a sus variantes anteriores. Confirmaron que el búfer de comando del malware es diferente.

Panorama

El regreso de un malware como Emotet debe ser motivo de preocupación ya que podría facilitar la probabilidad de un aumento de las infecciones de ransomware. La falta de cargadores de malware podría incentivar que los ciberactores utilicen esta Botnet para aumentar las operaciones tendientes a desplegar ransomware.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.