Emotet: el “malware más peligroso del mundo”

El regreso del botnet Emotet: el “malware más peligroso del mundo”

El malware Emotet, alguna vez considerado el más extendido del mundo, está de regreso casi 10 meses después de que una operación policial coordinada por Europol y Eurojust desmantelara su infraestructura de comando y control a fines de enero de 2021. Este tipo de malware no ha dejado de evolucionar desde sus inicios, fue catalogado como un troyano bancario, hasta la actualidad, donde su principal función es permitir la descarga y ejecución de otros malware como Trickbot, cifradores de archivos, etc.

Emotet: Características y funcionamiento
Fuente: Incibe-CERT

Europol calificó a Emotet como el “malware más peligroso del mundo” por su capacidad de actuar como un “abrepuertas” para que los cibercriminales obtengan acceso no autorizado, lo que lo convierte en un precursor de ataques de ransomware. Emotet ha permitido que otras familias de malware como Trickbot, QakBot y Ryuk se propaguen a gran escala. El malware TrickBot se está utilizando como vector de ataque para una nueva versión de Emotet para atacar sistemas que ya han sido infectados por la versión anterior. La última variante toma la forma de un archivo DLL, y la primera aparición se detectó el 14 de noviembre.

El aumento de la actividad del malware ha ido acompañado de un crecimiento en las campañas de malspam, con cadenas de infección que utilizan documentos de Word y Excel habilitados para macros adjuntos a los correos electrónicos.

¿Cómo funciona Emotet?

Emotet es un malware de tipo troyano identificado por primera vez en 2014. Es capaz de robar credenciales de acceso, infectar a los dispositivos con otro tipo de malware, enviar spam por correo a la lista de contactos para autorreplicarse, etc. Como modus operandi, los atacantes utilizan correos electrónicos fraudulentos con adjuntos o enlaces a archivos maliciosos que tienen como objetivo la descarga y ejecución de Emotet, intentando así eludir a los antivirus. Por ello se debe tener especial precaución a la hora de ejecutar cualquier tipo de adjunto o enlace proveniente del correo, incluso los provenientes de contactos conocidos, ya que Emotet puede suplantar su identidad.

Tanto las URLs, como los adjuntos, se pueden analizar por medio de herramientas, como Virus Total o URLhaus. También es aconsejable deshabilitar las macros de terceros por defecto, y nunca habilitarla a no ser que se esté seguro de su legitimidad.

Emotet también utiliza vulnerabilidades conocidas, como EternalBlue/DoublePulsar y ataques de fuerza bruta, por lo que siempre se debe contar con los sistemas actualizados a la última versión disponible y utilizar contraseñas robustas.

¿Cómo prevenir el malware Emotet?

Utilizando las herramientas EmoCheck y haveibeenemotet destinadaa a comprobar si este malware está presente en el dispositivo.

También es aconsejable analizar el sistema con otras herramientas antimalware.

C2USER recomienda tener en cuenta:

Emotet puede realizar múltiples acciones maliciosas, por lo que si algún dispositivo de la empresa se ha visto comprometido por este tipo amenaza es aconsejable llevar a cabo las siguientes medidas:

  • Tener precaución al abrir correos que parezcan proceder de una fuente comfiable, ya que pueden contener malware.
  • Utilizar una firma electrónica en el correo para una inequívoca identificación.
  • Analizar todos los dispositivos de la organización, ya que puede que Emotet haya conseguido infectar a más dispositivos.
  • Cambiar las contraseñas tanto de los equipos como de los servicios a los que se podía acceder desde el dispositivo.
  • Actualizar todo el software y sistema operativo a la última versión disponible.

Este tipo de ataque está basado en la ingeniería social, es por esto que es muy importante que el usuario conozca la existencia de la amenaza y su funcionamiento, para poder así reconocerlo a tiempo y evitar caer en el engaño, o para eliminarlo en caso de haberse visto afectado.