¿Qué es Emotet?

¿Qué es Emotet?

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

Emotet es un tipo de malware diseñado originalmente como un troyano bancario dirigido a robar datos financieros, pero ha evolucionado para convertirse en una amenaza importante para los usuarios en todo el mundo.

Es posible que haya escuchado hablar de Emotet en las noticias. ¿Qué es?: ¿Un rey del antiguo Egipto, el grupo emo favorito de su hermana adolescente? Nos tememos que no.

El troyano bancario Emotet fue identificado por primera vez por investigadores de seguridad en 2014. Emotet fue diseñado originalmente como un malware bancario que intentaba colarse en su ordenador y robar información confidencial y privada. En versiones posteriores del software se añadieron los servicios de envío de spam y malware, incluidos otros troyanos bancarios.

Emotet utiliza funciones que ayudan al software a eludir la detección por parte de algunos productos anti-malware. Emotet utiliza capacidades similares a las de un gusano para ayudar a su propagación a otros ordenadores conectados. Esto ayuda a la distribución del malware. Esta funcionalidad ha llevado al Departamento de Seguridad Nacional de los Estados Unidos a la conclusión de que Emotet es uno de los malware más costosos y destructivos, que afecta a los sectores gubernamentales y privados, particulares y organizaciones, y cuya limpieza por incidente cuesta más de 1 millón de dólares.

¿Qué es Emotet?

Emotet es un troyano que se propaga principalmente a través de correos electrónicos de spam (malspam). La infección puede llegar a través de archivos de órdenes maliciosos, archivos de documentos habilitados para macros o enlaces maliciosos. Los correos electrónicos de Emotet pueden contener imágenes de marcas conocidas diseñadas para que parezcan un correo electrónico legítimo. Emotet puede intentar persuadir a los usuarios para que hagan clic en los archivos maliciosos utilizando un lenguaje tentador sobre "Su factura", "Información de pago" o posiblemente un próximo envío de empresas de mensajería muy conocidas.

Emotet ha pasado por algunas repeticiones. Las primeras versiones llegaron como un archivo JavaScript malicioso. Las versiones posteriores evolucionaron para utilizar documentos habilitados para macros para recuperar la carga de virus de los servidores de comando y control (C&C) ejecutados por los atacantes.

"Emotet es polimórfico, lo que significa que puede cambiar por sí mismo cada vez que se descarga y evitar la detección basada en firmas".

Emotet utiliza una serie de trucos para intentar evitar la detección y el análisis. Emotet es polimórfico, lo que significa que puede cambiar por sí mismo cada vez que se descarga y evitar la detección basada en firmas. Además, Emotet sabe si se está ejecutando dentro de una máquina virtual (virtual machine, VM) y permanecerá inactivo si detecta un entorno de sandbox.

Emotet también utiliza servidores de C&C para recibir actualizaciones. Esto funciona de la misma forma que las actualizaciones del sistema operativo en su PC y puede ocurrir sin problemas y sin ningún signo externo. Ello permite a los atacantes instalar versiones actualizadas del software, instalar malware adicional, como otros troyanos bancarios, o actuar como vertedero de información robada, como credenciales financieras, nombres de usuario y contraseñas y direcciones de correo electrónico.

¿Cómo se propaga Emotet?

El principal método de distribución de Emotet es a través de malspam. Emotet saquea su lista de contactos y se envía a sus amigos, familiares, compañeros de trabajo y clientes. Puesto que estos correos electrónicos provienen de su cuenta de correo electrónico secuestrada, los correos electrónicos se parecen menos a spam, y los destinatarios, al sentirse seguros, tienden más a hacer clic en las direcciones URL incorrectas y descargar archivos infectados.

Si hay una red conectada, Emotet se propaga utilizando una lista de contraseñas comunes y adivina su camino hacia otros sistemas conectados en un ataque de fuerza bruta. Si la contraseña del importantísimo servidor de recursos humanos es simplemente "contraseña", entonces es probable que Emotet encuentre su camino hasta allí.

Otro método que Emotet utiliza para propagarse es a través de las vulnerabilidades EternalBlue/DoublePulsar, que fueron responsables de los ataques WannaCry y NotPetya. Estos ataques aprovechan las vulnerabilidades de Windows que pueden permitir la instalación de malware sin interacción humana.
Esta capacidad de autorreplicado, como un tipo de malware que llamamos gusano, provoca interminables dolores de cabeza a los administradores de red de todo el mundo a medida que Emotet se propaga de un sistema a otro.

¿Cuál es la historia de Emotet?

Identificado por primera vez en 2014, Emotet continúa infectando sistemas y dañando a los usuarios hasta la fecha, por lo que seguimos hablando de ello, a diferencia de otras tendencias de 2014 (¿alguien se acuerda del desafío del cubo de agua helada?).

La primera versión de Emotet fue diseñada para robar los datos de las cuentas bancarias interceptando el tráfico de Internet. Poco tiempo después, se detectó una nueva versión del software. Esta versión, llamada Emotet versión dos, venía empaquetada con varios módulos, incluidos un sistema de transferencia de dinero, un módulo de malspam y un módulo bancario dirigido a bancos alemanes y austriacos.

"Las versiones actuales del troyano Emotet incluyen la posibilidad de instalar otros malware en los equipos infectados. Este malware puede incluir otros troyanos bancarios o servicios de entrega de malspam".

En enero de 2015, apareció en escena una nueva versión de Emotet. La tercera versión contenía modificaciones ocultas diseñadas para mantener el malware fuera del radar y añadía nuevos objetivos bancarios suizos.

Avance rápido hasta 2018: Las versiones actuales del troyano Emotet incluyen la posibilidad de instalar otros malware en los equipos infectados. Este malware puede incluir otros troyanos bancarios o servicios de entrega de malspam.

¿A quién se dirige Emotet?

Todo el mundo es objetivo de Emotet. Hasta la fecha, Emotet ha afectado a particulares, empresas y entidades gubernamentales en Estados Unidos y Europa, y ha robado registros bancarios, datos financieros e incluso carteras de bitcoin.

Un ataque digno de mención de Emotet en Allentown (Pensilvania) requirió la ayuda directa del equipo de respuestas a incidentes de Microsoft para la limpieza y, al parecer, su reparación le costó a la ciudad más de 1 millón de dólares.

Ahora que Emotet se está utilizando para descargar y repartir otros troyanos bancarios, la lista de objetivos es, en potencia, aún más amplia. Las primeras versiones de Emotet se utilizaron para atacar a clientes bancarios en Alemania. Las versiones posteriores de Emotet se dirigieron a organizaciones en Canadá, Reino Unido y Estados Unidos.

"Un ataque digno de mención de Emotet en Allentown (Pensilvania) requirió la ayuda directa del equipo de respuestas a incidentes de Microsoft para la limpieza y, al parecer, su reparación le costó a la ciudad más de 1 millón de dólares".

¿Cómo puedo protegerme frente a Emotet?

Ya está dando el primer paso para protegerse de Emotet a sí mismo y a sus usuarios al aprender cómo funciona Emotet. Aquí tiene algunos pasos más que puede seguir:

  • Mantenga su equipo/terminales actualizados con los parches más recientes para Microsoft Windows. Emotet puede confiar en la vulnerabilidad de Windows EternalBlue para hacer su trabajo sucio, así que no deje esa puerta trasera abierta en su red.
  • No descargue archivos adjuntos sospechosos ni haga clic en un enlace que parezca sospechoso. Emotet no puede tener ese punto de apoyo inicial en su sistema o red si evita esos correos electrónicos sospechosos. Tómese tiempo para educar a sus usuarios sobre cómo detectar malspam.
  • Aprenda y enseñe a sus usuarios sobre cómo crear una contraseña segura. Ya que está en ello, empiece a usar la autenticación de dos factores.
  • Puede protegerse a sí mismo y a sus usuarios contra Emotet con un programa seguro de seguridad informática que incluya protección multicapa. 

¿Cómo puedo eliminar Emotet?

Si sospecha que ya ha sido infectado por Emotet, no se asuste. Si su equipo está conectado a una red, aíslelo de inmediato. Una vez aislado, proceda a parchear y limpiar el sistema infectado. Pero aún no ha terminado. Debido a la forma en la que Emotet se propaga por su red, un ordenador limpio se puede volver a infectar cuando se conecta de nuevo a una red infectada. Limpie cada ordenador de su red uno a uno. Es un proceso tedioso, pero las soluciones que hay en el mercado pueden facilitarlo, aislando y desinfectando los terminales infectados y ofreciendo protección proactiva contra futuras infecciones de Emotet.

Fuente: https://es.malwarebytes.com/emotet/

CSIRT CELEC EP

Respuesta a Incidentes de Ciberseguridad (Análisis, Gestión, Coordinación) de nuestra Comunidad Objetivo.

Dirección: Panamericana Norte Km 7 Cuenca-Ecuador

Zona horaria: América / Guayaquil (GMT-0500)

Teléfono: +593 02 2900400  Ext: 3119

 

Search