Emotet regresa después de una pausa de meses

Después de una pausa de casi seis meses, la botnet Emotet volvió a la vida el viernes con una nueva campaña de correo no deseado dirigida a víctimas en los EE. UU. Y el Reino Unido. La firma de seguridad Proofpoint había detectado unos 30,000 mensajes de spam asociados con la botnet Emotet.

Emotet

Emotet, como lo hemos visto en anteriores boletines, es un malware altamente efectivo que es capaz de descargar e instalar una variedad de malware adicional que a menudo roba información, envía correos electrónicos maliciosos y se propaga a través de redes que usan dispositivos infectados para lanzar futuros ataques, Su infraestructura está basada en pruebas y métricas, y está construida a escala según lo que funcione. Por qué Emotet, que se considera una de las variantes de malware más peligrosas y prolíficas actualmente en circulación, se calmó en febrero y luego volvió a la vida ahora sigue siendo un misterio.

Nueva campaña

La nueva campaña de Emotet comienza con correos electrónicos de phishing lanzados a tantas víctimas potenciales como sea posible. Estos mensajes generalmente contienen una línea de texto y le piden al usuario que abra un documento malicioso de Word adjunto al correo electrónico llamado "electronic.form", según informes de investigación de seguridad. A veces, los correos electrónicos de phishing contienen una URL y le piden al usuario que haga clic en ella.

Las líneas de asunto de los correos electrónicos de phishing son bastante simples, según Proofpoint:

• 'RE:'
• 'Factura #' seguidas de un número de factura falso se ven comúnmente, y a menudo incluyen el nombre de la organización a la que se dirige".
• Temas de "Jobs GO".
• "Aviso de pago de Expedia" o solicitudes de plantillas.
• Otras muestras analizadas por los investigadores utilizan documentos de cebo que se hacen pasar por un documento de envío de Loomis-express.com.

Infección

Si el usuario abre el documento adjunto, se habilitan macros maliciosas que intentan descargar el malware Emotet. Por lo general, se lanza un script de PowerShell que intenta ponerse en contacto con varios sitios web remotos para descargar la carga completa, según Malwarebytes. Una vez que se establece contacto con el sitio, Emotet se descarga en el dispositivo y se conecta con un servidor de comando y control.

Una vez que Emotet se descarga en un dispositivo infectado, instala módulos adicionales para robar credenciales, recolectar correos electrónicos y extenderse por las redes locales.

Con los años, Emotet ha sido rediseñado para descargar malware secundario en dispositivos infectados. Esto incluye variantes de código malicioso como Qbot, IcedID y Gootkit. En otros casos, Emotet se combina con TrickBot para descargar el ransomware Ryuk

Advertencia de Microsoft  

Microsoft informa que decenas de miles de correos electrónicos con cientos de archivos adjuntos se envían a los usuarios como parte de una nueva campaña que utiliza el malware Emotet.

Según Microsoft la campaña de suplantación de identidad ha estado en silencio durante meses, pero recientemente ha regresado en vigor. La nueva campaña utiliza tácticas de Emotet conocidas como:

Correos electrónicos con enlaces o documentos con macros maliciosas altamente ofuscadas que ejecutan un script de PowerShell para activar enlaces de descarga.

Las URL de descarga generalmente apuntan a sitios web comprometidos, característicos de las operaciones de Emotet.

Panorama

La noticia del regreso de Emotet es algo que nadie en la industria de la seguridad cibernética probablemente disfrutará. Antes de desaparecer en febrero, Emotet fue, con mucho, la operación de cibercrimen más grande, más activa y sofisticada. Los administradores de redes y seguridad deben asegurarse de que los usuarios de su red estén bien informados sobre las campañas de spam de Emotet y no abran ningún documento sospechoso.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.