Emotet presente en Chile con campañas de Spear Phishing

El troyano bancario Emotet quien cuenta con gran presencia en Chile y LATAM fue identificado por primera vez por investigadores de seguridad en 2014. Emotet fue diseñado originalmente como un malware bancario que intentaba infiltrarse en su ordenador y robar información privada. En versiones posteriores del software se añadieron “servicios” de envío de spam y malware, incluidos otros troyanos bancarios.

EMOTET

Emotet utiliza funciones que ayudan al software a eludir la detección por parte de algunos productos anti-malware, aplicando capacidades similares a las de un gusano para ayudar a su propagación a otros ordenadores conectados a la red donde se encuentra la víctima. 

Esta funcionalidad ha llevado al Departamento de Seguridad Nacional de los Estados Unidos a la conclusión de que Emotet es uno de los malware más costosos y destructivos, que afecta a los sectores gubernamentales y privados, particulares y organizaciones, y cuya limpieza por incidente cuesta más de 1 millón de dólares.

Sectores afectados:

• Educación
• Servicios financieros
• Gobierno-nacional
• Gobierno-servicios públicos
• Sanidad
• Productos farmacéuticos
• Comercio minorista
• Tecnología
• Transporte

Para mayores antecedentes de la amenaza, dirigirse a los siguientes boletines:

• Se evidencia reciente campaña de emotet dirigida a Chile

• Nueva campaña de Emotet con técnica para evadir detección

• Emotet utilizando paquetes maliciosos de Windows App Installer

Malware modular

Se propaga principalmente a través de correos electrónicos del tipo malspam (en algunos casos de ataques dirigidos se ha observado suplantación de identidad). La infección puede llegar a través de archivos tipo script, documentos de tipo office habilitados para macros o enlaces maliciosos. 

Los correos electrónicos de Emotet pueden contener imágenes de marcas conocidas diseñadas para que parezca un correo electrónico legítimo, intentando persuadir a los usuarios para que los adjuntos maliciosos utilizando un lenguaje tentador y llamativo, como por ejemplo "Su factura", "Información de pago" o posiblemente un próximo envío de empresas de mensajería muy conocidas.

Las primeras versiones llegaron como un archivo JavaScript malicioso, evolucionando a versiones posteriores, donde se comenzó a utilizar documentos habilitados con macros para descargar el malware desde los servidores de comando y control (C&C) ejecutados por los atacantes.

Ejemplo de distribución de EMOTET.

Con el paso del tiempo, el malware fue adoptando nuevas formas de propagación e incluso efectuando trabajo “colaborativo” con otros actores de amenaza, principalmente operadores de Ransomware, por lo que se le considera una malware modular que se adapta a los requerimientos de cada atacante.

Entre una de las características que destacan de la sofisticación de Emotet corresponde a que en su código este es capaz de identificar la zona geográfica donde se encuentra desplegado y generar conexiones con sus servidores de C2 asignados, de forma de segmentar y ordenar la red de botnet.

Esta característica se les ha denominado Epoch y se enumeran entre el 1 y el 5

Uso de PowerShell como vía de infección

A medida que el malware fue evolucionando, aprovechó el uso de herramientas nativas presentes en Windows, como es el caso de Powershell.

Emotet creaba una instancia para la descarga de la infección final, desde diferentes servidores donde se alojaba el ejecutable que efectuaba el compromiso final del ataque.

Proceso de infección con EMOTET y descarga de payload final.

Comando de Powershell ejecutado por Emotet

Ya conocidos sus procedimientos para concretar el ataque y luego de suspender sus operaciones por algunos meses en 2021, durante principios de 2022 retornó con la modificación de algunas técnicas, haciendo uso de macros 4.0 y el abuso de fórmulas incrustadas en documentos MS Excel, para la ejecución de comandos y descarga del payload final.

Emotet haciendo uso de fórmulas en MS Excel.

Europol desmantela operación de EMOTET

A principios de 2021, la Europol tomó el control de la infraestructura de Emotet, en lo que fue una de las operaciones cibercriminales más importantes de los últimos años. Gracias al esfuerzo en conjunto con diferentes entidades legales de Europa y organizaciones de ciberdefensa en el mundo, se logró dar con el paradero de los operadores de la red de Emotet, la que ha contado durante años con uno de los sistemas más resilientes al sobrevivir a todo tipo de ataques gracias a su gran diversificación.

Comunicado del “EMOTET TakeDown” llevado a cabo por la EUROPOL.

Reactivación de operaciones

Durante fines de 2021 se ha detectado la reactivación y reestructuración de la botnet Emotet, quien ha comenzado su expansión fuertemente desde enero de 2022 aplicando diferentes mejoras sobre la marcha que se podrían deber al crecimiento de la infraestructura comprometida

Previo a la pausa, investigadores habrían rastreado un total de más de 300 servidores de comando y control únicos, con un total de aproximadamente 1.200.000 equipos infectados mientras que en la actualidad, desde su resurgimiento se han identificado aproximadamente 80 C2 abarcando cerca de 100.000 equipos infectados en pocos meses.

Para ambos casos el tiempo de Uptime de los servidores en ambas campañas tienen un tiempo de actividad de aproximadamente 1 mes y se han identificado georreferenciados principalmente en EE. UU., Alemania, Francia, Brasil. Tailandia, singapur, indonesia, Canadá, reino unido e india.

La forma en que Emotet monetiza sus operaciones es mediante explotación de accesos a máquinas en forma masiva en todo el mundo, para luego ofrecer a la venta los accesos de organizaciones relevantes que han sido comprometidas ya sea de forma dirigida mediante spear phishing o mediante envío de spam masivo para luego ofrecer los accesos obtenidos en foros de mercado negro o ofrecerlos internamente directamente entre sus operadores y afiliados.

Entre los operadores y afiliados se ha visto un constante apoyo desde la botnet TrickBot quien ha prestado soporte e infraestructura para el proceso de reestructuración por lo que se puede evidenciar un claro nexo con ciberactores rusos que operan Ransomware CONTI, los que actualmente son el grupo con mayor cantidad de víctimas históricas globales infectadas con ransomware y que en la actualidad son catalogados como un grupo con capacidades avanzadas e innovadoras.

A continuación un diagrama de la estructura organizacional de CONTI donde se observa claramente la participación de Emotet:

Diagrama organizacional de Ranomware Conti, identificando a Emotet entre sus afiliados

De acuerdo a lo visualizado durante la actual campaña de Emotet se evidencia un trabajo sofisticado con actores de amenaza de gran relevancia global, por lo que se entiende que los contactos y afiliados poseen conocimientos avanzados e innovadores, generando gran revuelo mundial y haciendo que  sus TTP sean ampliamente conocidos y estudiados pero aun así cada vez que realizan un cambio en su despliegue, este debe ser documentado y reportado por investigadores previo a su detección automática, lo que brinda tiempo suficiente a los operadores para generar campañas de distribución masiva o dirigida.

Es por esta razón que continuamente intentan generar cambios y actualizaciones tanto en su infraestructura como en el despliegue de sus procesos de ejecución para evadir tecnologías de seguridad, sin embargo, sus TTP pueden ser difícilmente modificados ya que básicamente provocará una reestructuración desde cero, un hecho poco viable cuando la operación ya se encuentra en funcionamiento, lo que se encuentra representado en la “Pirámide del dolor” de David J.Bianco

Piramide del dolor por David J.Bianco

Conocidas estas capacidades es imperante mantener reglas de seguridad y bloqueo específicas que permitan detectar a tiempo un intento de amenaza ya que como se ha detallado en un comienzo, su despliegue histórico se encuentra fuertemente presente en LATAM y grandes urbes, por lo que es de esperar que a medida que su reestructuración continue, será cada vez más frecuente encontrar muestras de malware en casillas de correo personales y de colaboradores.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.