Identificado por primera vez en 2014, Emotet continúa infectando sistemas y dañando a los usuarios hasta la fecha, por lo que seguimos hablando de ello, a diferencia de otras tendencias surgidas en su mismo año de creación.
La última versión detectada del malware Emotet fue el pasado mes de febrero, cuando su distribución a través de las redes WLAN demostraba como este malware diseñado originalmente como un troyano bancario dirigido a robar datos financieros, evolucionaba para convertirse en una amenaza importante para los usuarios en todo el mundo.
Ahora este malware polifórmico, que puede cambiar por sí mismo cada vez que se descarga y evitar la detección basada en firmas, vuelve a la carga tras cinco meses de inactividad.
¿Cómo puedo enfrentarme a EMOTET?
Los delincuentes vuelven a hacer uso del email como vector de ataque
Para su nueva puesta en escena, Emotet ha vuelto a elegir uno de sus vectores de ataque favoritos: una campaña de envío masivo de spam con adjuntos o enlaces maliciosos. Si echamos la vista atrás, recordaremos que el principal método de distribución de Emotet es a través de malspam. Es decir, el malware saquea tu lista de contactos y se envía a tus amigos, familiares, compañeros de trabajo, clientes y demás contactos. Puesto que estos correos electrónicos provienen de tu cuenta de correo electrónico secuestrada, los correos electrónicos se parecen menos a spam, y los destinatarios, al sentirse seguros, tienden más a hacer clic en las direcciones URL incorrectas y descargar archivos infectados.
¿Qué forma adoptan estos archivos infectados? Una vez más, los delincuentes envían miles de correos haciéndose pasar por facturas, informes, confirmaciones de envío e incluso ofertas de empleo.
¿A quién van dirigidos estos emails? Estos correos son enviados principalmente a empresas y, una vez se infecta un sistema, este suele ser utilizado para seguir enviando este tipo de emails a los contactos almacenados en la libreta de direcciones, haciéndole creer que está ante un correo legítimo.
Emotet se caracteriza por la descarga de diversos módulos que le permiten realizar una amplia variedad de acciones maliciosas, especialmente en redes corporativas, como el movimiento lateral para infectar más sistemas de la misma red, el robo de credenciales y cookies almacenadas en los navegadores, el robo de credenciales bancarias y de aplicaciones de escritorio remoto, OpenSSH, VNC y Putty y el robo de bases de datos pertenecientes a servicios de Directorio Activo de Windows
A esto hay que sumarle el hecho de que las versiones actuales de Emotet incluyen la posibilidad de instalar otros malware en los equipos infectados. Este malware puede incluir otros troyanos bancarios o servicios de entrega de malspam. Hasta hace unos meses este ransomware solía ser Ryuk, aunque tras la reaparición de Emotet se ha visto cómo otro malware de este tipo, conocido como Conti, también ha sido desplegado en las redes infectadas. Los delincuentes pueden así robar información confidencial y luego cifrarla para solicitar un rescate.
¿Cómo puedo protegerme de Emotet?
- La desactivación por defecto de la ejecución de macros en la suite ofimática Office es una de las barreras de seguridad más efectivas para impedir que este tipo de malware se propague sin control.
- Mantener tu equipo y terminales actualizados con los parches más recientes para Microsoft Windows. Emotet puede confiar en la vulnerabilidad de Windows EternalBlue para hacer su trabajo, así que no dejes esa puerta trasera abierta en tu red.
- Concienciación: Los empleados suelen ser el eslabón más débil en la cadena de la ciberseguridad. Por eso hay que enseñarles a reconocer los emails de phishing. No descargues archivos adjuntos sospechosos ni hagas clic en un enlace que parezca sospechoso.
- Crea contraseñas robustas, empezando por aprender a crearlas usando el doble factor de autenticación.
- Otra medida imprescindible para proteger contra este tipo de amenaza avanzada son las soluciones de ciberseguridad. Panda Adaptive Defense cuenta con la tecnología específica desarrollada para la detección de amenazas avanzadas como Emotet.