Emotet es una de las ciberamenazas más persistentes y peligrosas de hoy en día. Según las últimas estadísticas, existen más de 30.000 variantes de este botnet, cuya primera campaña fue como troyano bancario en 2014. El año pasado, Emotet representaba ya el 45% de las URL que se utilizaban para descargar malware. Según Any.Run, un servicio público que permite analizar el malware que se ejecuta en los sandbox, Emotet fue el malware más prevalente de 2019. De hecho, fue empleado en algunos de los ataques de ransomware que estremecieron el mundo de la ciberseguridad en 2019.
Emotet llega a las Naciones Unidas
Tras un descanso de tres semanas en las que no se supo nada del botnet, Emotet volvió a sus campañas de spam maliciosas el 13 de enero. Mientras los emails habituales que manda el botnet intentan hacerse pasar por informes de contabilidad, o avisos de entrega y facturas, los operadores de Emotet habían preparado algo especial para los trabajadores de la Organización de Naciones Unidas (ONU).
Este ataque dirigido llegó hasta 600 direcciones de correo electrónico dentro de la ONU, las cuales recibieron emails de phishing que se hacían pasar por el representante de la Misión Permanente de Noruega ante las Naciones Unidas. En el email, se afirmaba que había un problema con un acuerdo que se había firmado, y que se adjuntaba al email.
Si este documento se abre, muestra una advertencia de que el “documento solo está disponible para versiones de Microsoft Windows para portátiles o estaciones de trabajo” y, por lo tanto, hay que hacer clic en “habilitar edición” o “habilitar el contenido” para poder ver el documento. Si el usuario sigue estas instrucciones, se ejecutan los macros maliciosos de Word para descargar e instalar Emotet. Tras estas acciones, el botnet se ejecuta en segundo plano, mandando emails de spam a otras víctimas.
La instalación de Emotet no es el final
Una vez que Emotet está instalado en un equipo, un malware que se instala sin excepción es el troyano TrickBot. Este troyano tiene como objetivo cosechar de equipos afectados datos como cookies, credenciales o archivos. También puede intentar pasar de un ordenador a otro para difundir la infección.
Una vez recogida la información que busca, TrickBot abre un shell inverso para los operadores del ransomware Ryuk. Con este shell, los operadores de Ryuk pueden infiltrarse en la red, conseguir controles de administrador y desplegar Ryuk para cifrar todos los dispositivos en la red.
Un botnet que se adapta
El modus operandi de este botnet es una prueba de la capacidad de evolución constante que muestra el cibercrimen. Emotet no se conforma con utilizar el mismo email para todas sus potenciales víctimas, sino que se adapta, como hemos visto con este caso. Otras versiones de los emails de Emotet que se han visto son invitaciones a una fiesta de Halloween, a una fiesta de navidad o a una manifestación por el cambio climático.
No seas víctima de Emotet
Que una organización global como las Naciones Unidas haya recibido intentos de infección a través de Emotet demuestra el alcance de este botnet. Por eso, es imprescindible que cualquier empresa que quiera proteger su ciberseguridad tome medidas para evitar ser víctima de Emotet. El primer paso, como es el caso para muchas ciberamenazas, es la concienciación.
Los empleados suelen ser el eslabón más débil en la cadena de la ciberseguridad. Por eso hay que enseñarles a reconocer los emails de phishing, que no solo pueden contener malware como Emotet, pero también pueden llevar a estafas BEC y otros tipos de fraude. De hecho, según Verizion, el 93% de las brechas de datos empiezan con un ataque de phishing y el 95% de todos los ciberataques a redes corporativas resultan de un email de phishing. Más importante aún es insistir en la importancia de no abrir los archivos adjuntos que pueden llegar a infectar toda la red de la organización.
Otra medida imprescindible para proteger contra este tipo de amenaza avanzada son las soluciones de ciberseguridad. Panda Adaptive Defense cuenta con la tecnología específica desarrollada para la detección de este troyano bancario. “Es importante tener en cuenta que, sin una protección avanzada, el cliente se infectará”, confirma Pedro Uría, Director de PandaLabs.