Nuevas campañas de EMOTET para este 2020

21 Enero 2020
Crítico

Emotet fue visto por primera vez el 2014 y unas de sus principales funciones era ser un malware bancario, sin embargo, con el tiempo ha evolucionado y ahora se ha convertido en una de las amenazas de primer nivel para las pymes, las empresas y las redes gubernamentales del último año en el mundo ya que ha aumentado vertiginosamente sus tácticas, técnicas, procedimientos y capacidades de propagación y distribución de otros malwares como ransomware Ryuk y el troyano TrickBot.

Aunque es ampliamente conocido e incluido constantemente en nuestros boletines, Emotet ciertamente no es un software criminal común y corriente. De hecho, el equipo de respuesta ante emergencias informáticas de EE.UU. (US-CERT) llama a Emotet "el malware más costoso y destructivo" en Internet.

Además, con la constante diversificación y expansión de la red criminal detrás de ella, Emotet continúa evadiendo antivirus y otras tecnologías de seguridad para obtener acceso a las redes de los clientes. A la luz de esto, Emotet debería estar en la parte superior de la lista de amenazas de malware a las que prestar atención este 2020.

El papel de Emotet en el ecosistema criminal

El ascenso de Emotet como un troyano bancario y un ladrón de credenciales está bien documentado, y aunque esto debería ser motivo suficiente para no quererlo en su red, la realidad es que Emotet se ha convertido en algo similar a "Emotet y sus amigos", siendo el peor escenario "elige tu propia aventura" para sus víctimas.

“La mejor manera de pensar sobre Emotet en el ecosistema criminal actual es como el principal proveedor de acceso a las víctimas para muchos otros actores criminales importantes”.

Emotet Movimiento constante para el máximo impacto y evasión

Al investigar Emotet, recientemente hemos observado una gran cantidad de movimiento en el aspecto cosmético como en la estructura subyacente de los diferentes componentes de Emotet, todos destinados a aumentar la eficacia de sus herramientas y ataques, así como a evadir o romper una serie de técnicas y herramientas de análisis exitosas diseñadas para frustrar sus TTP (Trusted third party).

En la matriz de MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) se representa la categorización de los comportamientos adversos basados en las observaciones de todo el mundo, asociados a la actividad de Emotet durante Diciembre del año 2019.

 

MITRE ATT&CK Emotet Diciembre 2019

 

En el período previo a las vacaciones, emotet implementó numerosos cambios en el formato del documento, como el de usar autoopen. Al abrir un documento busca ejecutar la macro OLE VBA, así como modificaciones en el uso de formularios objetos que almacenan la base de PowerShell. Estas modificaciones lograron que muchos de los principales productos antivirus comerciales no detectaron los documentos de correo electrónico maliciosos o confiaron en detecciones heurísticas menos precisas. En general, solo el 24% de los productos de seguridad lograron detectar el archivo como malicioso.


Perspectiva del futuro

Lo que no está claro en el caso de Emotet es la forma de reestructurar que podrían emprender y cómo será su futuro ritmo operativo. Emotet está en un modo operativo de alto rendimiento, produciendo numerosas mutaciones de los documentos señuelo en múltiples niveles, pasando por la infraestructura de comando y control, generando así que las herramientas antivirus y de análisis de seguridad estén pasando por un momento muy difícil.

Creemos que el tiempo de operaciones y los niveles de éxito de Emotet 2020 determinarán los cambios futuros en sus herramientas y técnicas. Si desean mantener este ritmo de operaciones alto, esperamos ver más automatización y abstracción en toda su cadena de herramientas (como la nueva utilidad PowerTrick de TrickBot recientemente informada por SentinelOne).

La operación de Emotet está generando pagos sustanciales y seguramente atrayendo una atención cada vez mayor por parte de las agencias policiales del mundo. ¿Continuarán las ganancias de Emotet al mismo ritmo, o ralentizarán las cosas?

Una cosa de la que estamos seguros es que su éxito masivo y su dominio sobre el panorama del software criminal probablemente continuará.

El Centro de Ciberinteligencia recomienda:

  • La capacitación adecuada para detectar correos electrónicos de phishing haciendo hincapié en la existencia de ataques concentrados los días viernes PM y fin de semana cuando la seguridad de las ciberoperaciones disminuye.
  • Es importante que las organizaciones tengan soluciones de seguridad de correo electrónico que puedan detectar ataques de spearphishing y detonar archivos adjuntos potencialmente maliciosos en entornos de espacio aislado, antes de llegar al punto final del empleado.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Evitar visitar sitios web inseguros, así como la descarga de software ilegal ya que existe una alta probabilidad que puedan infectarse por algún malware.

IoC actualizados de EMOTET Enero 2020:

  • https://paste.cryptolaemus.com/emotet/2020/01/16/emotet-malware-IoCs_01-16-20.html
  • https://pastebin.com/MurXusfZ
  • https://pastebin.com/HPiZkFqp
  • https://pastebin.com/ecsxD1bG
  • https://pastebin.com/MDZK8f5K

Tags: #Emotet #Malware #Phishing #Spam #Trickbot #Ryuk
  • Productos Afectados
  • Producto Versión
    Windows 7
    8
    8.1
    10


© 2023 Entel Digital
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.