La alarmante evolución de Emotet en el tiempo

04 Septiembre 2019
Informativo

Desde el último mes, Emotet se ha reactivado y vuelve a ser una amenaza para Latinoamérica. Hace unas semanas investigadores de “Confense Labs” informaron que los servidores de comando y control (C2) volvieron a entregar respuestas a solicitudes por método HTTP POST.

A continuación, compartiremos información útil acerca de este peligroso malware que puede comprometer sus activos informáticos.

Inicialmente, Emotet fue visto por primera vez el 2014 y unas de sus principales funciones era ser un malware bancario, sin embargo con el tiempo ha evolucionado y ahora se ha convertido en una de las amenazas más importantes del último año en el mundo ya que ha aumentado vertiginosamente sus capacidades de propagación, distribución de otros malwares como ransomware Ryuk y botnet TrickBot, y tácticas técnicas y procedimientos.

El Centro de Ciberinteligencia de Entel CyberSecure ha mantenido una ardua investigación respecto a la evolución de esta amenaza, informando a través de nuestro portal sobre todos los movimientos y nuevos indicadores de compromiso difundidos por terceros. Dada la magnitud de esta amenaza, consideramos importante que la comunidad se encuentre preparada con una estrategia de acción clara para revisar y proteger a sus respectivas organizaciones, y en el peor de los casos, responder con medidas de contención y recuperación.

A fin de demostrar la evolución de Emotet presentamos la matriz de MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) representando la categorización de los comportamientos adversos basados en las observaciones de todo el mundo, asociados a Emotet del año 2014 y 2019. A continuación una comparativa de este en los últimos cinco años.

EMOTET 2014

EMOTET 2019

 

Emotet continúa presente en nuestro país, afectando a organizaciones e instituciones de diversos rubros. Se debe considerar, que no se trata de un virus tradicional, sino que es un conjunto de ataques coordinados, para lograr un objetivo mayor determinado por el robo de información sensible, mantención de persistencia y continuidad en su propagación. No es solo un virus, más bien un ataque automatizado que funciona por etapas y que se estima hay un grupo organizado de ciberdelincuentes detrás de sus campañas.

Estrategias contra Emotet:

  • Revisar que la solución Antispam esté actualizada, efectiva y bien configurada.
  • Hay que asegurar que la protección de Endpoint no se base solamente en tener firmas para bloquear malware.
  • Limitar el acceso de las cuentas de usuario y su capacidad de conectar a otras máquinas.
  • Contar con un programa EDR (Endpoint Detection and Response) para prescindir de tomar control remoto de un equipo infectado vía Remote Desktop.
  • Tener una visibilidad completa y segmentada de la red de la compañía.
  • Revisar que las herramientas de detección de intrusos (IPS/IDS) estén actualizadas y bien configuradas.
  • Revisar que ningún equipo de la red sea vulnerable a los exploits de MS17-010.
  • Tener una estrategia de comunicación y actuación para estas infecciones.

Desde un punto de vista de detección, es importante estar atento no sólo a correlaciones con los indicadores de compromiso compartidos, si no que a observar comportamientos anómalos de la red. En base a esto recomendamos:

  • Analizar tráfico con destino a IoC’s de C2 a nivel perimetral.
  • Analizar el volumen de infecciones a nivel de Endpoints (que equipos de usuarios estén limpiando virus no es algo normal).
  • Revisar alzas de tráfico SMB (445, 139) entre equipos de la red asociados a recursos compartidos.
  • Realizar un Threat hunting a nivel de logs de eventos de active directory para detectar movimientos laterales con credenciales.
  • Analizar el perfil comportamiento de usuarios mediante técnicas de UBA (User behaviour analytics).

Tags: #emotet #apt #ransomware #ryuk #trickbot #windows #smb #rdp

Contacto

¡Cuenta con nosotros!
inteligencia@cci-entel.cl


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.