Eliminación de Emotet en dispositivos infectados a través de un módulo creado por Operación Policial.

26 Abril 2021
Informativo

En enero de 2021 el malware Emotet que ha sido catalogado como el más peligroso del mundo, según datos de la RCMP, fue interrumpida por una operación policial internacional la cual informamos en nuestro boletín del 28 enero.

Después de la operación de eliminación, los organismos comenzaron una desinstalación general de todos los dispositivos infectados con la ayuda de un módulo de malware entregado en enero por las fuerzas del orden, esto permitió a los investigadores tomar el control de los servidores de Emotet e interrumpir el funcionamiento del malware.

Desinstalación de Emotet

Después de la operación “Ladybird” se vieron al menos 700 servidores asociados con la infraestructura de la botnet neutralizados desde adentro, evitando así una mayor explotación. 

A tres meses desde dicha interrupción las autoridades policiales impulsaron una nueva configuración para las infecciones activas de Emotet permitiendo que el malware comenzara a usar servidores de comando y control controlados por Bundeskriminalamt (Agencia de policía federal de Alemania).

Seguido a esto, el pasado 25 de abril 2021 la policía configuró el envío automático de la carga que contenía un nuevo módulo Emotet llamado “EmotetLoader.dll” de 32 bits  a todos los sistemas infectados permitiendo así la desinstalación  automática del malware eliminándolo de los dispositivos infectados además de eliminar la clave de registro de ejecución automática para finalizar el proceso. 

En un comunicado de prensa del 28 de enero, el Departamento de Justicia de EE. UU. (DOJ) también confirmó que el Bundeskriminalamt envió el módulo de desinstalación a las computadoras infectadas con Emotet.

Panorama

Si bien, al momento de esta publicación, se evidencian servidores de la botnet Emotet desconectados y los sistemas que en su momento fueron infectados se encontrarían libres de este malware, no se puede confirmar que este sea el fin de Emotet. Hemos podido evidenciar en otros casos, como los ciberactores detrás de importantes operaciones utilizan pausas prolongadas y cesan sus actividades durante un tiempo para mejorar sus capacidades y técnicas polimórficas. Es de esperar que tengamos un tiempo sin tener noticias sobre Emotet, pero solo el tiempo nos dirá que tan efectivas han sido estas acciones conjuntas.


Tags: #Emotet #Ladybird #Malware #Botnet


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.