Emotet fue visto por primera vez el 2014 y unas de sus principales funciones era ser un malware bancario, sin embargo, con el tiempo ha evolucionado y ahora se ha convertido en una de las amenazas de primer nivel para las pymes, las empresas y las redes gubernamentales del último año en el mundo ya que ha aumentado vertiginosamente sus tácticas, técnicas, procedimientos y capacidades de propagación y distribución de otros malwares como ransomware Ryuk y el troyano TrickBot.
Aunque es ampliamente conocido e incluido constantemente en nuestros boletines, Emotet ciertamente no es un software criminal común y corriente. De hecho, el equipo de respuesta ante emergencias informáticas de EE.UU. (US-CERT) llama a Emotet "el malware más costoso y destructivo" en Internet.
Además, con la constante diversificación y expansión de la red criminal detrás de ella, Emotet continúa evadiendo antivirus y otras tecnologías de seguridad para obtener acceso a las redes de los clientes. A la luz de esto, Emotet debería estar en la parte superior de la lista de amenazas de malware a las que prestar atención este 2020.
El papel de Emotet en el ecosistema criminal
El ascenso de Emotet como un troyano bancario y un ladrón de credenciales está bien documentado, y aunque esto debería ser motivo suficiente para no quererlo en su red, la realidad es que Emotet se ha convertido en algo similar a "Emotet y sus amigos", siendo el peor escenario "elige tu propia aventura" para sus víctimas.
“La mejor manera de pensar sobre Emotet en el ecosistema criminal actual es como el principal proveedor de acceso a las víctimas para muchos otros actores criminales importantes”.
Emotet Movimiento constante para el máximo impacto y evasión
Al investigar Emotet, recientemente hemos observado una gran cantidad de movimiento en el aspecto cosmético como en la estructura subyacente de los diferentes componentes de Emotet, todos destinados a aumentar la eficacia de sus herramientas y ataques, así como a evadir o romper una serie de técnicas y herramientas de análisis exitosas diseñadas para frustrar sus TTP (Trusted third party).
En la matriz de MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) se representa la categorización de los comportamientos adversos basados en las observaciones de todo el mundo, asociados a la actividad de Emotet durante Diciembre del año 2019.
MITRE ATT&CK Emotet Diciembre 2019
| Initial Access | Execution | Persistence | Privilege Escalation | Defense Evasion | Credential Access | Discovery | Lateral Movement | Collection | Command and Control | Exfiltration | |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Spearphishing Attachment | Command-Line Interface | Registry Run Keys / Startup Folder | New Service | Obfuscated Files or Information | Brute Force | Network Sniffing | Exploitation of Remote Services | Email Collection | Commonly Used Port | Data Encrypted | |
| Spearphishing Link | PowerShell | Scheduled Task | Process Injection | Scripting | Credential Dumping | Process Discovery | Windows Admin Shares | Custom Command and Control | Exfiltration Over Command and Control | ||
| User Execution | Valid Accounts | Software Packing | Credentials in Files | Uncommonly Used Port | Standard Cryptographic Protocol | ||||||
| Windows Management Instrumentation |
En el período previo a las vacaciones, emotet implementó numerosos cambios en el formato del documento, como el de usar autoopen. Al abrir un documento busca ejecutar la macro OLE VBA, así como modificaciones en el uso de formularios objetos que almacenan la base de PowerShell. Estas modificaciones lograron que muchos de los principales productos antivirus comerciales no detectaron los documentos de correo electrónico maliciosos o confiaron en detecciones heurísticas menos precisas. En general, solo el 24% de los productos de seguridad lograron detectar el archivo como malicioso.
Perspectiva del futuro
Lo que no está claro en el caso de Emotet es la forma de reestructurar que podrían emprender y cómo será su futuro ritmo operativo. Emotet está en un modo operativo de alto rendimiento, produciendo numerosas mutaciones de los documentos señuelo en múltiples niveles, pasando por la infraestructura de comando y control, generando así que las herramientas antivirus y de análisis de seguridad estén pasando por un momento muy difícil.
Creemos que el tiempo de operaciones y los niveles de éxito de Emotet 2020 determinarán los cambios futuros en sus herramientas y técnicas. Si desean mantener este ritmo de operaciones alto, esperamos ver más automatización y abstracción en toda su cadena de herramientas (como la nueva utilidad PowerTrick de TrickBot recientemente informada por SentinelOne).
La operación de Emotet está generando pagos sustanciales y seguramente atrayendo una atención cada vez mayor por parte de las agencias policiales del mundo. ¿Continuarán las ganancias de Emotet al mismo ritmo, o ralentizarán las cosas?
Una cosa de la que estamos seguros es que su éxito masivo y su dominio sobre el panorama del software criminal probablemente continuará.
El Centro de Ciberinteligencia recomienda:
IoC actualizados de EMOTET Enero 2020:
| Producto | Versión |
|---|---|
| Windows |
7 8 8.1 10 |