En noviembre del año pasado, una ciberamenaza llegó a las entidades financieras de Chile. Se trataba del malware bancario Emotet, conocido como la pesadilla de la banca mundial. El banco chileno Consorcio anunció que, aunque no se habían visto afectados los fondos de ningún cliente, existían fondos propios del banco que no habían sido recuperados.
Según PandaLabs, una vez que Emotet entra en una red, infecta todos los ordenadores de la misma en minutos y estos ordenadores quedan a la espera de recibir órdenes de su C&C. Generalmente se usa para robo de credenciales y para realizar spam, pero podría usarse para cifrar toda la red.
La evolución de Emotet
Aunque empezó sencillamente como un troyano bancario, ahora ha evolucionado y se parece más a un botnet. Los operadores criminales del malware alquilan sus capacidades de carga para permitir a otros cibercriminales entregar su propio malware como payload segundario. Una vez dentro de una red, tiene la capacidad de propagarse a otras máquinas mediante ataques de fuerza bruta, intentando entrar en el equipo utilizando contraseñas de una lista incluida en el malware.
La amenaza más común en los emails de phishing
Ahora, hemos visto pruebas de su prevalencia. Según un grupo de investigadores, Emotet constituye casi todos los payloads de botnet entregados por email en el primer cuatrimestre de 2019, mientras los botnets representan el 61% de todos los payloads que llegan a través del correo electrónico.
Una de las razones de la popularidad de Emotet es su flexibilidad y su sigilo: una vez dentro de una organización, Emotet puede ser utilizado para entregar otros tipos de malware y otros ataques.
¿Y cómo llega a mi equipo? Emotet suele llegar a los equipos de sus víctimas a través de URLs maliciosas que llevan a la descarga del malware en emails a través de la táctica de phishing. Aunque muchas personas saben que no tienen que descargar archivos adjuntos que llegan de remitentes desconocidos, con el uso de los servicios de file-sharing basados en la nube, es más probable que la gente haga clic en un enlace desconocido sin pensarlo.
En abril se descubrió que, para hacer más creíble estas campañas de phishing, los atacantes empezaban a utilizar antiguos hilos de correo electrónicos, imitando una nueva respuesta a una cadena de mensajes. En este nuevo mensaje, insertan la URL del malware.
Un malware con gran alcance
La organización sin fines de lucro, The Spamhaus Project, ha publicado un análisis en profundidad del malware. Según han descubierto, hay unos 47.000 equipos infectados con Emotet en todo el mundo que están emitiendo alrededor de 6.000 URLs maliciosas que llevan a sitios web que sirven como vector de infección. Es el malware que se distribuye de manera más activa en estos momentos: representa un 45% de las URLs que se utilizan para la descarga de malware.
Protégete contra esta amenaza
Con un abanico tan grande de técnicas para llegar a los equipos, es muy importante tener cuidado para asegurar que Emotet no llegue a nuestra empresa.
1.- Utilizar contraseñas fuertes. Una de las técnicas utilizadas por Emotet es un ataque de fuerza bruta utilizando una lista de contraseñas. Por lo tanto, utilizar contraseñas obvias, o reutilizar siempre la misma contraseña, puede facilitar su llegada a tu organización.
2.- Cuidado con las URLs. Si recibes un enlace por correo electrónico, siempre hay que comprobar que la dirección es legítima, aunque parezca proceder de un remitente conocido. Pasa el cursor sobre en enlace para ver la web a la que se dirige.
3.- Cuenta con soluciones de ciberseguridad avanzada. Ya que Emotet tiene tantas maneras de colarse en la red de tu organización, es vital saber exactamente lo que ocurre en tu red informática en todo momento. Panda Adaptive Defense cuenta con la tecnología específica desarrollada para la detección de este troyano bancario. “Es importante tener en cuenta que, sin una protección avanzada, el cliente se infectará. Hay campañas constantes de este troyano y un antivirus tradicional no lo va a detectar”, confirma Pedro Uría, Director de PandaLabs.