Varios equipos de investigación de proveedores de seguridad han alertado de indicadores que permiten asegurar el regreso de la Botnet Emotet, una de las amenazas más latentes de los últimos años, luego que sus operaciones fueran interrumpidas en enero del 2021 por la policía internacional.
Botnet Emotet
Emotet, catalogado como el malware más peligroso del mundo, según la Royal Canadian Mounted Police (RCMP) habría infectado a más de 1,7 millones de computadoras en 226 países, incluidos 6.000 en Canadá.
A principios del 2021 una operación coordinada por Europol y Eurojust en conjunto con la policía del Reino Unido, la UE, Estados Unidos y Canadá logró derribar a Emotet. Las autoridades lograron tomar el control de la infraestructura de Emotet y enviaron cargas útiles de limpieza a los equipos infectados.
Emotet es una infección de malware que se distribuye a través de campañas de spam con archivos adjuntos maliciosos. Si un usuario abre el archivo adjunto, las macros maliciosas o JavaScript descargarán la DLL de Emotet y la cargarán en la memoria usando PowerShell.
Una vez cargado, el malware buscará y robará correos electrónicos para usarlos en futuras campañas de spam y arrojará cargas útiles adicionales como TrickBot o Qbot que comúnmente conducen a infecciones de ransomware.
Actividad de una infección reciente por Emotet.
Investigadores de Internet Storm Center (ISC) han evidenciado algunos correos electrónicos que buscan infectar con Emotet entre los cuales se pueden distinguir tres tipos de archivos adjuntos:
Todos estos correos electrónicos fueron respuestas falsas que utilizaron datos de cadenas de correo electrónico robadas, presumiblemente recopiladas de hosts de Windows previamente infectados.
Ejemplo de malspam Emotet con archivo adjunto zip protegido por contraseña.
El tráfico de infección para Emotet es similar a lo que vimos antes de la eliminación en enero de 2021. La única diferencia real es que Emotet después de la infección C2 ahora es HTTPS cifrado en lugar de HTTP no cifrado.
Emotet resurge con una nueva técnica
El investigador de Cryptolaemus y experto en Emotet Joseph Roosen explicó que han detectado una nueva técnica con la cual los atacantes intentan reconstruir Emotet utilizando la infraestructura existente de TrickBot. Los investigadores creen que los operadores necesitan reconstruir la infraestructura de Emotet desde cero.
Según Cryptolaemus, el nuevo cargador Emotet incluye nuevas capacidades diferentes a sus variantes anteriores. Confirmaron que el búfer de comando del malware es diferente.
Panorama
El regreso de un malware como Emotet debe ser motivo de preocupación ya que podría facilitar la probabilidad de un aumento de las infecciones de ransomware. La falta de cargadores de malware podría incentivar que los ciberactores utilicen esta Botnet para aumentar las operaciones tendientes a desplegar ransomware.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: