Uno de los botnets más poderosos en capacidad de propagación de malware, Emotet, está activo nuevamente luego de una ausencia de cuatro meses.

Investigadores de la firma de seguridad Cofense identificaron en agosto que los servidores de comando y control asociados con Emotet estaban activados, aunque la botnet permanecía inactiva. 

En base a investigaciones adicionales realizadas por analistas en ciberseguridad, notaron que la red de bots enviaba un código malicioso nuevamente. 

Además, investigadores de la firma de seguridad de SpamHaus, notaron una campaña de phishing asociada con Emotet, dirigida a aquellos de habla inglesa, polaca, alemana e italiana. 

Estos correos comenzaron a correr en principio en Alemania, mediante la táctica de la cadena de respuesta, extendiéndose a otras regiones con un envío más genérico y a gran escala, según indica investigador sénior de Cofense, Jason Meurer.  

 

El método

La botnet utiliza una técnica de ingeniería social, la cual consiste en engañar a los usuarios mediante cadenas de respuestas. Se envía un correo electrónico de phishing con un archivo de Word adjunto, como respuesta a una conversación existente. Esta forma es una manera fácil de que el usuario descargue el documento o el enlace. 

El documento enviado en sí, contiene un mensaje que solicita que el usuario acepte un acuerdo de licencia de Microsoft. Luego de descargar el malware, Emotet se dedica a difundir la campaña utilizando el sistema infectado para enviar más correos electrónicos de phishing.  

 

Emotet es peligroso

Parecería ser que el objetivo principal de Emotet es hacer crecer la campaña, pero según investigadores, esto no está claro. 

Meurer, indica que a principios de este año, identificaron correos electrónicos que sugerían que el remitente y el receptor ya habían tenido contacto y el correo electrónico era un seguimiento. De esta forma, se hace más fácil realizar correos del tipo spear phishing, siendo que serán más relevantes y creíbles para el usuario aumentando las posibilidades de que haga click.

A fines de enero de este año, investigadores de Sophos, identificaron hasta 750 variedades de malware relacionadas con Emotet, clasificando sus ataques como peores que WannaCry. Incluso, el mismo Departamento de Seguridad Nacional de EE.UU, lo consideran como una de las botnets de malware más destructivas y costosas.  

 

Nuestras recomendaciones

La preparación para cualquier tipo de ciberataque o amenaza, comienza por nosotros. Prestar atención y ser precavido. Sí, muchas veces podemos pasar por alto algunas señales, pero hay otras que son claves y realmente hacen posible identificar un correo electrónico con contenido malicioso. Por lo que la concientización de sus colaboradores es fundamental. 

Esto debe ir siempre complementado con herramientas destinadas a mantener la ciberseguridad en los sistemas de toda la empresa, como lo son los antivirus para android de McAfee y Symantec, y algunas actualizaciones y evaluaciones periódicas:

  • Actualizar plataformas Office, Windows, Adobe Acrobat, Oracle Jaca y demás. 
  • Actualizar todas las plataformas de tecnologías y de detección de amenazas. 
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Evaluar el bloqueo preventivo de los indicadores de compromisos.   

 

Referencias:

Gobierno de Chile – CSIRT 

InfoRisk Today – Researchers: Emotet Botnet Is Active Again

Malware Emotet se aprovecha de nueva vulnerabilidad de WinRar

Malwarebytes – Emotet is back: botnet springs back to life with new spam campaign

Autor: Leonardo Berro | Security Advisor