Desde esta semana, el país se está enfrentando a un brote de malware que está afectando a las Empresas del país. Los registros actuales indican que parece ser nuevamente EMOTET, un malware del cual se ha hablado en repetidas ocasiones durante este último tiempo.
El Centro de CiberInteligencia de Entel ha estado al corriente del acontecer nacional y considera importante que la comunidad se encuentre preparada con una estrategia de acción clara para revisar y proteger a sus respectivas organizaciones, y en el peor de los casos, contener y recuperar. A continuación, compartimos información sobre que es Emotet y recomendaciones que consideramos importantes.
¿Qué es Emotet?
Emotet es un malware de objetivo bancario, el cual contiene múltiples particularidades y es importante conocerlas. Se debe considerar, que no se trata de un virus tradicional que accede a computadores, infecta y luego roba información, si no que es un conjunto de ataques coordinados, para lograr un objetivo que no es otro que robar información sensible. No es solo un virus, más bien un ataque automatizado que funciona por etapas.
Cada organización que enfrenta Emotet, debe saber que no basta con cargar una firma de IoC (indicador de compromiso) en un Firewall o en una solución de seguridad Endpoint, ya que el malware muta, modificando sus firmas y vectores de comportamiento día a día. Hoy, es de real importancia para las Empresas, saber como funciona este malware y sus características principales, para luego tomar dos posturas estratégicas. La primera de ellas debe ser defensiva y enfocada en asegurar que la organización tome las medidas de seguridad necesarias para enfrentar esta amenaza, ya sean a través de dispositivos de seguridad, visualización, reglas de comunicación claras, capacidad para responder, procedimientos ante incidentes y otros controles adecuados. La segunda postura debe enfocar los esfuerzos en la detección y observar constantemente si la amenaza ya se encuentra en progreso.
La recomendación principal es comprender lo que está pasando y tomar ambas posturas frente a Emotet.
¿Cómo funciona Emotet?
Para comprender este Malware se recomienda la matriz de ATT&CK, la cual realiza una clasificación de como se estructuran los ciberataques y APT’s, identificando cuales son las técnicas que se utilizan y que recomendaciones existen para cada una de las etapas. Recomendamos en general utilizar esta clasificación para identificar rápidamente ataques y lograr relacionarlos entre sí, es una buena práctica.
En el caso particular de Emotet y el brote que estamos observando, según las muestras que hemos analizado de equipos ya infectados, lo podemos clasificar de la siguiente forma:
El comportamiento principal de este malware consiste en ingresar a través de una campaña de Phishing o Spearphishing, el cual mediante archivos adjuntos en correos infecta el equipo utilizando exploits enfocados a programas vulnerables en sistemas como por ejemplo, computadores con versiones desactualizadas de Microsoft Office o Adobe Reader.
Cuando esta parte del ataque se ejecuta tiene dos tareas principales: descargar una versión modificada del malware (con una nueva firma) y generar persistencia en el sistema infectado. Con esto se almacena en una llave de registro, para que se ejecute cada vez que se inicia el equipo afectado. Durante esta etapa es posible detectar el malware en ejecución, dado que se va a conectar a ciertas direcciones IP’s reconocidas por distribuir Emotet. Si durante esta parte no se logra conectar a estas ip’s maliciosas, el malware no se descarga y el ataque finaliza.
Si logra descargar el malware, intentará robar información sensible y será transmitida al servidor malicioso de comando y control (C2). Adicionalmente el malware tiene características de gusano, es decir, intentará desde un computador infectado, propagarse a los equipos vecinos mediante dos técnicas principales: robo de credenciales en memoria y explotación de la vulnerabilidad Microsoft MS17-010.
Es importante detenerse un minuto, para reflexionar del robo de contraseñas en memoria, ya que es una característica muy común en entornos Microsoft y en múltiples ciberataques como estos. En palabras simples, un computador guarda en memoria las contraseñas del usuario que ha iniciado sesión. Programas como Mimikatz permiten obtenerlas y posteriormente un malware las utiliza para intentar conectarse a equipos de la misma red. Muchas veces durante un incidente de seguridad las áreas TI cometen el error de “tomar el equipo de manera remota” utilizando sus credenciales con altos privilegios de Domain Admin / Super-administrador. Si este es el caso, y el equipo está infectado, utilizará estas credenciales para infectar otros equipos, y como son de administrador, logrará tomar control de toda la red en cosa de minutos.
En resumen, es así como funciona el malware:
Muchos ciberataques hoy en día se estructuran de la misma forma, sólo cambian las técnicas. Esto es muy común ya que es altamente efectiva dado que las empresas no suelen tener políticas de parchado adecuadas, equipos con protecciones de endpoint avanzadas (basadas en comportamiento y no en firmas), ni entrenamientos periódicos a sus usuarios.
Con esto, esperamos que se entienda de mejor forma el contexto general de la amenaza. A continuación, recomendamos las siguientes estrategias defensivas y de detección.
Estrategias contra Emotet
Desde un punto de vista de detección, es importante estar atento no sólo a correlaciones con los indicadores de compromiso compartidos, si no que a observar comportamientos anómalos de la red. En base a esto recomendamos:
Es importante destacar el análisis de tráfico a nivel del protocolo SMB dentro de una compañía. SMB permite, entre otras cosas, tener acceso a carpetas compartidas dentro de una red empresarial.
En un análisis de comportamiento de usuario no es normal que un usuario se conecte a múltiples equipos al mismo tiempo utilizando este protocolo. Si fuese así, significaría que un usuario está accediendo a varias carpetas en muchos equipos. Hoy por hoy, los usuarios suelen compartir archivos mediante tecnologías en la nube o directamente por correo, rara vez mediante carpetas compartidas. Por otra parte, se usa este protocolo entre una “estación de trabajo” y un “servidor de archivos (File Server)”, rara vez, entre estaciones de trabajo. Mantener en análisis este protocolo, permitirá identificar rápidamente un ataque en progreso, ya sea del malware Emotet u otro ciberataque de características parecidas.
Emotet, como malware, es bastante efectivo, pero al mismo tiempo relativamente simple de entender y muy difícil de enfrentar si ya comenzó la infección. Ciberataques que tienen estas características son muchos. Las recomendaciones puestas en este comunicado permiten no solo prepararse para esta amenaza puntual, si no que para muchas que puedan venir.
Una buena política de parchado y detección de vulnerabilidades, una red ordenada y bien organizada, sistemas de seguridad debidamente instalados, información de amenazas fidedignas y un buen equipo de analistas, son la clave para proteger a las empresas frente a estas amenazas avanzadas.