Emotet sigue en constante evolución mejorando su sigilo y persistencia

En sus inicios cuando fue descubierto en 2014, Emotet era un malware estándar que robaba credenciales y actuaba como un troyano bancario. En la actualidad Emotet ha evolucionado y se ha vuelto cada vez más peligroso convirtiéndose en un malware modular muy utilizado para descargar otros códigos maliciosos en los equipos de las víctimas. Con cada actualización mejora el sigilo, su persistencia y agrega nuevas capacidades de espionaje

Actividad intermitente 

Emotet opera estacionalmente, lo que significa que una inactividad prolongada puede ir seguida de un período de distribución de malware más activo. Dentro de sus últimos ataques se destaca la actividad de distribución de amenazas que afectaron a organismos gubernamentales en distintos países, como el Departamento de Justicia de Quebec, Canadá, entre otras compañías del sector privado a nivel global. Los países que más se han visto afectados en estos últimos siete meses son Chile, Argentina, Brasil, México, Colombia y Ecuador.

Paises con mas sitios comprometidos por Emotet en Latinoamérica entre abril y octubre de 2020 Fuente: ESET Research

Por lo general, Emotet genera ataques de phishing con correos electrónicos no deseados que infectan los ordenadores con malwares pudiéndose propagar a otros ordenadores en la red. La forma en que utilizan correos electrónicos robados para ganarse la confianza de las víctimas es lo que lo hace altamente convincente, exitoso y por sobre todo peligroso.

¿Por qué es tan peligroso? 

• El troyano cuenta con mecanismos avanzados de persistencia y anti-evasión, como:
• Capacidad de detectar sandboxes y máquinas virtuales con la opción de generar indicadores falsos para desviar las investigaciones. 
• Tiene un diseño polimórfico, lo que significa que puede cambiar su código para evitar la detección basada en firmas, lo que hace que esta estrategia de defensa cibernética sea inútil contra sus ataques
• Puede recibir actualizaciones desde el servidor de control, realizando esta operación como si se estuviera instalando una actualización del sistema operativo

Proceso de ejecución del malware

• Se distribuye a través de campañas maliciosas de correo no deseado, con archivos adjuntos de Microsoft Office.
• Los archivos descargados contienen códigos VBA (Visual Basic for Applications) maliciosos que se ejecutan luego de que se ha abierto un documento.
• Una de las posibles opciones del proceso de infección es cuando el código VBA utiliza WMI para iniciar un script de Powershell que descarga la carga útil.
• Emotet toma medidas para mantener una presencia en el sistema infectado: se copia a sí mismo en las subcarpetas %AppData% y cambia el valor de ejecución automática en el registro.
• Durante todo el proceso de infección, el malware envía información hacia y desde un servidor.
• Por último, Emotet espera los comandos de los servidores C2.

Trabajo en conjunto con otros malwares

Como se mencionó anteriormente la participación de Emotet es intermitente, lo que da paso a que en sus momentos inactivos otros tipos de malware aparezcan. Este fue el caso de TrickBot que consiguió destacar mientras Emotet no estaba activo. Asimismo, en un periodo de decadencia de TrickBot es que el malware Qbot hizo aparición especializándose en el robo de datos. 

Relación entre las campañas de Emotet, Trickbot y Qbot – Fuente: ESET Research

Los tres malware ya mencionados tienen en común las siguientes características:

• Robo de información y credenciales.
• Instalación de otros tipos de malware como ransomware Ryuk o Conti.
• Utilizan campañas de Phishing para llegar a las víctimas

Es importante destacar que, aparte de las características mencionadas, cada uno de ellos se especializa de distintas formas para llevar a cabo los ataques. 

Panorama

Como hemos podido evidenciar en muchos de nuestros boletines, Emotet continúa siendo una seria amenaza, su constante evolución y relación estrecha con otros malware que permiten su propagación, ha hecho de este un malware de gran persistencia en el tiempo.

Mediante el análisis de la información evidenciada en los últimos meses, hemos podido  validar que este malware (Emotet) ha tenido una actividad importante en el cono Sudamericano, y nuestro país no ha escapado de campañas directamente vinculadas al mismo. Y a pesar de los esfuerzos de lucha en contra de este malware, se prevé que los ciberdelincuentes se están preparando para hacer uso del mismo, pensando en las celebraciones de la temporada navideña, y así continuar en su ardua labor de comprometer a las organizaciones y abrir las puertas a otro tipo de ataques de mayor impacto, como por ejemplo, ransomware.

Es por esto que se deben realizar grandes esfuerzos en la concientización de los usuarios y todo el personal de TI para que estos tengan una formación bien definida de como tener responsabilidad en el uso de los activos tecnológicos.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Escanear todos los archivos adjuntos antes de abrirlos, con un antivirus organizacional que detecte algún comportamiento sospechoso.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Evitar visitar sitios web inseguros, así como la descarga de software ilegal ya que existe una alta probabilidad que puedan infectarse por algún malware.
• Generar contraseñas más robustas objeto evitar que las descubran, como por ejemplo:
•  El largo de la contraseña debe ser mínimo de 10 caracteres.
•  Modificar la contraseña cada 60 o 90 días.
•  No utilizar palabras fáciles u obvias para la contraseña.