Emotet implementa nueva táctica de spear phishing dirigido empresas que poseen SOC externo

Emotet vuelve a mutar, implementando nuevas técnicas de ingeniería social a través de correos electrónicos, lo que lo hace cada vez más inteligente mejorando día a día su forma de infectar a sus objetivos.

Investigaciones de fuentes externas, han reportado que el malware se está distribuyendo a través de macros en archivos de Microsoft Office enviados como adjuntos en correos electrónicos dirigidos a organizaciones que cuentan con Centros de Operaciones de Seguridad (SOC). El correo simula ser un informe semanal de seguridad, lo cual supone un engaño muy tentador para sus objetivos actuales, que se centran principalmente en organizaciones e instituciones gubernamentales.

Análisis de Inteligencia de Amenazas

El hecho de que los ciber actores que se encuentran detrás de las campañas de Emotet continúen trabajando en mejoras para su propagación, es parte de un cambio en sus intenciones. 

Como podremos recordar Emotet nació como un malware que buscaba robar credenciales e información bancaria, donde los responsables tenían una evidente motivación financiera. Con el paso del tiempo y debido a la agresiva capacidad de propagación automática que posee esta amenaza, pudimos presenciar que Emotet servía como punto de infiltración para otro tipo de malwares como Ryuk y Trickbot. Por lo que se interpreta que los responsables de estas campañas han decidido que pueden maximizar sus ganancias al asumir el rol de distribuidor. 

Puede ser que les resultará más difícil ganar dinero exclusivamente con troyanos bancarios, por lo que han modificado sus intenciones, mas no su motivación financiera. Por lo que se descarta que se ofrezca como un distribuidor "exclusivo", proyectándose así, como una amenaza con crecimiento exponencial durante el mediano plazo.

Emotet es un peligro vigente y un gran dolor de cabeza potencial para las organizaciones. Es por ello que el Centro de Ciberinteligencia de Entel CyberSecure ha mantenido una ardua investigación respecto a la evolución de esta amenaza, informando a través de nuestro portal sobre todos los movimientos y nuevos indicadores de compromiso difundidos por terceros. Dada la magnitud de esta amenaza, consideramos importante que la comunidad se encuentre preparada con una estrategia de acción clara para revisar y proteger a sus respectivas organizaciones, y en el peor de los casos, responder con medidas de contención y recuperación. 

Emotet continúa presente en nuestro país, afectando a organizaciones e instituciones de diversos rubros. Se debe considerar, que no se trata de un virus tradicional, sino que es un conjunto de ataques coordinados, para lograr un objetivo mayor determinado por el robo de información sensible, mantención de persistencia y continuidad en su propagación. No es solo un virus, más bien un ataque automatizado que funciona por etapas dirigidas por un grupo organizado de ciberdelincuentes.

Se recomienda lo siguiente: 

• Antes de Abrir archivos de Office, comprobar que el correo provenga de una fuente confiable
• Configurar de manera estricta los dispositivos anti-spam
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Realizar campañas comunicacionales permanente dirigidas a clientes y colaboradores de organizaciones, explicando sobre los peligros de phishing y cómo actúa para engañar a sus víctimas.
• Dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del email o dentro de un documento adjunto.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.