Vuelve a reactivarse la amenaza EMOTET

Desde el mes de junio que no se observaron nuevas campañas relacionadas al malware Emotet lo que hacía pensar que los servidores estaban fuera de servicio por mantenimiento. No fue hasta hace tres días que investigadores de “Confense Labs” informaron que el malware comenzó a entregar respuestas a las solicitudes POST realizadas en los servidores de Mando y Control (C2). 

“Emotet es polimórfico, lo que significa que puede cambiar por sí mismo cada vez que se descarga y evitar la detección basada en firmas” - MalwareBytes

Emotet es ahora una de las principales amenazas actuales. Fue identificado por primera vez el 2014 y diseñado como malware bancario, sin embargo, con el tiempo se potenció incluyendo funciones que ayudan al software a eludir la detección por parte de algunos productos anti-malware y utilizando capacidades similares a las de un gusano para ayudar a su propagación a otros ordenadores conectados junto con la descarga de otros malwares para comprometer a sus víctimas. 

Durante las últimas campañas se destacó por su infraestructura para distribuir Trickbot (malware bancario) y el ransomware Ryuk. Combinación denominada “triple amenaza” la cual ha afectado a las administraciones públicas de los gobiernos en todo el mundo. Esta funcionalidad ha llevado al Departamento de Seguridad Nacional de los Estados Unidos a la conclusión de que Emotet es uno de los malware más costosos y destructivos, que afecta a los sectores gubernamentales y privados, particulares y organizaciones, y cuya limpieza por incidente cuesta más de 1 millón de dólares.  

Se espera que las nuevas campañas de Emotet comiencen a reactivarse pronto, debido a la repentina actividad intensiva y la gran cantidad de fuentes. Se cree que los ataques continuarán con las mismas TTP de operación utilizadas anteriormente realzando la distribución del ransomware Ryuk. 

Estrategias contra Emotet:

• Revisar que la solución Antispam esté actualizada, efectiva y bien configurada.
• Hay que asegurar que la protección de Endpoint no se base solamente en tener firmas para bloquear malware.
• Limitar el acceso de las cuentas de usuario y su capacidad de conectar a otras máquinas.
• Contar con un programa EDR (Endpoint Detection and Response) para prescindir de tomar control remoto de un equipo infectado vía Remote Desktop.
• Tener una visibilidad completa y segmentada de la red de la compañía.
• Revisar que las herramientas de detección de intrusos (IPS/IDS) estén actualizadas y bien configuradas.
• Revisar que ningún equipo de la red sea vulnerable a los exploits de MS17-010.
• Tener una estrategia de comunicación y actuación para estas infecciones.

Desde un punto de vista de detección, es importante estar atento no sólo a correlaciones con los indicadores de compromiso compartidos, si no que a observar comportamientos anómalos de la red. En base a esto recomendamos:

• Analizar tráfico con destino a IoC’s de C2 a nivel perimetral.
• Analizar el volumen de infecciones a nivel de Endpoints (que equipos de usuarios estén limpiando virus no es algo normal).
• Revisar alzas de tráfico SMB (445, 139) entre equipos de la red.
• Realizar un Threat hunting a nivel de logs de eventos de active directory para detectar movimientos laterales con credenciales.
• Analizar el perfil comportamiento de usuarios mediante técnicas de UBA (User behaviour analytics).