Intensa actividad de Emotet en septiembre

Investigadores de seguridad de diferentes partes del mundo, han emitido advertencias de seguridad dando la voz de alarma sobre un inusual aumento en la actividad del troyano Emotet durante septiembre.

Regreso de Emotet en julio 

Emotet, la botnet de malware más grande de la actualidad, ha estado inactiva durante la mayor parte de este año, desde febrero hasta julio, cuando hizo su reaparición. Lo que informamos oportunamente en boletín del 21 de julio.

Los ciberdelicuentes que controlan Emotet esperaban un rápido regreso a su capacidad máxima, pero sus planes fueron estropeados y retrasados durante casi un mes por un vigilante que siguió pirateando la infraestructura de Emotet y reemplazando su malware con GIF animados. Desafortunadamente, eso no duró mucho y al cabo de un corto plazo lograron obtener el control total sobre su botnet, la cual han mantenido activa hasta ahora para comprometer más víctimas a nivel global.

Emotet septiembre

Durante septiembre, se detectó una proliferación de correos maliciosos vinculados con Emotet, estos correos electrónicos no deseados vienen con archivos maliciosos adjuntos, que infectan al host con el malware. Posteriormente, los ciberactores vinculados a Emotet, venden el acceso a estos hosts infectados a otras bandas de delitos informáticos, incluidos los operadores de ransomware. Muchas veces, y especialmente en grandes entornos corporativos, una infección de Emotet puede convertirse en un ataque de ransomware en cuestión de horas.

Thread hijacking

En las últimas semanas, hemos visto significativamente más correos asociados a Emotet usando una técnica llamada "secuestro de hilos" que utiliza mensajes legítimos robados de los clientes de correo electrónico de las computadoras infectadas. Este malspam engaña a un usuario legítimo y se hace pasar por una respuesta al correo electrónico robado. El malspam secuestrado por subprocesos se envía a las direcciones del mensaje original.

Esta técnica es mucho más eficaz que los métodos menos sofisticados, pese a que muchas personas ya son concientes de esta nueva táctica y lo han aprendido a detectar. El enfoque es más exitoso para convencer a las víctimas potenciales de que hagan clic en un archivo adjunto o en un enlace para descargar un documento de Word malicioso con macros diseñadas para infectar a un usuario con Emotet.

Archivo protegido con contraseña

Microsoft anunció que Emotet se dirigió a varias regiones del mundo con correos electrónicos localizados. Algunos de los idiomas utilizados son inglés, francés e italiano. El tema varía desde invitaciones a reuniones y confirmaciones de pedidos hasta informes, todos ellos comprimidos en un archivo protegido con contraseña.

Después de que los destinatarios extrajeron el documento adjunto con la contraseña proporcionada en el cuerpo del correo electrónico y lo abrieron, iniciaron la macro maliciosa incrustada que descarga el payload de Emotet. Por muy convincentes que sean los mensajes, varios son obsoletos y mencionan fechas de 2013 y 2014.

Infraestructura de Emotet

Emotet ha evidenciado una infraestructura separada en subgrupos de botnets asociadas, denominadas por los investigadores como Epoch 1, Epoch 2 y Epoch 3. Los primeros días de septiembre, se lograron evidenciar que las organizaciones en Japón fueron atacadas con archivos protegidos por contraseñas en una operación bautizada como "Zip Lock", provenientes de indicadores de Epoch 3 y que el método luego se propagó lentamente a la Epoch 1 y 2.

Panorama

Emotet es una amenaza muy activa que actualiza constantemente su malware en un intento de evadir la detección. Los administradores de redes y seguridad deben asegurarse de que los usuarios de su red estén bien informados sobre las campañas de malspam de Emotet y no abran ningún documento sospechoso.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.