Se evidencia reciente campaña de emotet dirigida a Chile

Como ya se ha mencionado en boletines previos, Emotet ha sido una amenaza constante durante largo tiempo y en los últimos meses se ha identificado una reestructuración en sus TTP’s utilizando nuevo métodos de evasión de defensas demostrando una alta sofisticacion por parte de los ciberactores de origen ruso que cuentan con trayectoria desde 2014.

Recordemos que en 2021 tuvo una baja importante en su actividad y fue rápidamente recuperada con apoyo de ransomware Conti y desde entonces ha afectado numerosas víctimas alrededor del mundo, sumando entre sus más recientes objetivos a Chile.

Emotet

Es una botnet recientemente reactivada y que cuenta con gran apoyo de ciberactores debido a su amplia utilización para el despliegue de nuevas amenazas como ransomwares.

Para mayores antecedentes, visitar los siguientes boletines:

• Nueva campaña de Emotet con técnica para evadir detección
• Amenazas evidenciadas haciendo uso de vulnerabilidades de Log4j
• Emotet utilizando paquetes maliciosos de Windows App Installer
• Botnet Emotet evidenciada tratando de reconstruir su infraestructura
• Emotet sigue en constante evolución mejorando su sigilo y persistencia

Evidencia en Chile

Tras recientes anuncios de parte de investigadores se ha logrado evidenciar presencia de muestras de malware claramente dirigidas a territorio nacional suplantando correos de entidades gubernamentales, las cuales tal como es el mecanismo de Emotet, mediante documentos ofimáticos con Macros maliciosas comienza la descarga y ejecución de malware adicional en el sistema afectado.

El envío y propagación de Emotet tiene como vector principal de ataque la explotación de ingeniería social mediante correos phishing elaborados de forma directiva a sus objetivos mediante spoofing (no genéricos) en un claro español, con la finalidad de lograr un mayor porcentaje de éxito.

Dentro de la evidencia se destaca la nomenclatura utilizada en los documentos comprimidos, en el siguiente formato:

•  [Palabra en español] + [Número]

La palabra en español hace referencia a palabras genéricas utilizadas en documentos sumado a números que si bien se identifican fechas, pudiesen corresponder a un ID o inclusive ser aleatorio.

Ejemplos:

• detalles-38916
• adjuntos_2601
• adjuntos_61801965
• mensaje_26012022
• aviso-410142149
• escanear 9619
• Informe-7
   

Desde CSIRT gobierno recientemente se ha comunicado una alerta correspondiente a actividad de Emotet con presencia en Chile 

• https://www.csirt.gob.cl/alertas/2cmv22-00269-01/

Configuraciones de seguridad en los dominios de correo  

Es importante destacar que los módulos mencionados a continuación no son vulnerabilidades propiamente tal, sino que corresponden a capas de seguridad adicionales a las ya existentes, por tanto, deben ser habilitadas y configuradas según corresponda.

Si bien pueden existir políticas internas que permitan filtrar información entrante ante estas configuraciones, la optimización de las capas de seguridad permitiría generar un entorno seguro de forma independiente.

           Sender Policy Framework [SPF]

El Sender Policy Framework, o SPF, es una configuración de registro TXT para los DNS que brinda una capa de seguridad al encargarse de certificar qué direccionamientos pueden mandar correo en nombre de su dominio. 

Este registro es eficaz contra los ataques de phishing, ya que permite a los receptores de sus correos identificar fácilmente que efectivamente provienen desde un origen legítimo y permite bloquear o marcar como ilegítimo a aquellos que no correspondan.

También ayuda a que los servidores de destino tengan mayor confianza y no cataloguen correos legítimos enviados por la organización como SPAM.

Observación:

El hecho de tener configurado este registro sirve para que un actor malicioso no utilice nuestro dominio para enviar correos (utilizando técnicas como spoofing), ya que el receptor de dicho correo podrá validar en nuestros registros SPF si la IP/dominio desde donde se está enviado el correo con spoofing está autorizado a ser representado por nosotros.

La recomendación es que se exija a los proveedores que utilicen el mismo sistema para que nadie pueda suplantar la identidad de ellos si es que se utiliza Spoofing. Por otra parte, si la técnica utilizada es brandjacking (typosquatting), esto no tendrá efecto ya que el dominio sería otro.

DomainKeys Identified Mail [DKIM]

El DomainKeys Identified Mail, o DKIM, es un registro que permite firmar el correo con un dominio mediante claves públicas indicadas en las zonas de dominio de las diferentes organizaciones. De este modo, el destinatario está seguro de que el correo ha sido enviado desde un servidor legítimo y no ha sido interceptado y/o reenviado desde otro servidor no autorizado.

Para este proceso son utilizadas llaves de cifrado públicas y privadas, por lo cual el emisor cifra el mensaje con su clave privada y el destinatario recibe el mensaje junto con una clave pública única que permite la visualización del mensaje.

En el caso de intentos de spoofing, la clave pública de la organización no permitirá que el mensaje desde un tercero con clave privada diferente sea considerado válido ni representativo.

BIMI

BIMI, o Indicadores de Marca para la Identificación de Mensajes, es un nuevo estándar creado para facilitar que su logotipo aparezca junto a su mensaje en la bandeja de entrada. Esto no sólo ayuda a su visibilidad, sino que BIMI está diseñado para prevenir los correos electrónicos fraudulentos y ayudar a la entrega segura (capacidad de que los emails enviados lleguen a las bandejas de entrada de los receptores asignados)

DMARC

El Domain-based Message Authentication, Reporting and Conformance, o DMARC, complementa al SPF y DKIM. Este registro indica qué hacer cuando dan error los registros anteriores, para así poder tomar las medidas necesarias lo antes posible. Se crea un registro TXT desde el apartado de zonas DNS.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.