Los correos electrónicos spam y los ataques de ingeniería social han estado inundando la Internet durante esta pandemia. Como la mayoría de nosotros trabajamos desde casa, las posibilidades de exponernos a nosotros mismos y a nuestras organizaciones a estos actores maliciosos han aumentado exponencialmente. Durante marzo y abril, la Internet fue testigo de campañas masivas de phishing con el tema del COVID-19, y ahora, el infame Emotet está de vuelta para atormentar a las redes empresariales.
Después de casi cinco meses de inactividad, el malware de Emotet fue redescubierto en Internet por James Quinn, un investigador de defensa binaria. Se está distribuyendo a través de correos electrónicos de phishing que se disfrazan de informes de pago, oportunidades de empleo, recibos y facturas.
Antes de discutir acerca de cómo defenderse de esta instancia de malware, primero debemos entender sus características.
Emotet es un troyano que se distribuye a través de correos electrónicos de phishing que normalmente se aprovechan de líneas de asunto exigentes que mencionan temas sensibles al tiempo como entregas, facturas y detalles de pago para tentar a los destinatarios a abrirlos. Los correos electrónicos están bien elaborados para hacerse pasar por entidades legítimas, mientras que los documentos adjuntos vienen con scripts maliciosos y archivos habilitados para macros.
Una vez descargados, estos archivos empiezan a establecer un control sobre el dispositivo de la víctima. Emotet utiliza el servidor de comando y control (C&C) para recuperar la carga útil y acoplarse al objetivo.
A diferencia de otros malware, Emotet tiene propiedades de evasión de la detección para mantenerse inactivo dentro de una máquina virtual (VM) y evitar ser detectado a través del ecosistema del entorno de pruebas que los profesionales de la seguridad utilizan para identificar las amenazas. Además, Emotet recibe actualizaciones de versión para desarrollar su resistencia a la detección; implementar otras instancias de malware como troyanos bancarios y ransomware; y robar datos de dispositivos como credenciales, detalles financieros, nombres de usuario y más.
Una vez que Emotet se conecta a un sistema, comenzará a extraer cargas útiles del servidor de C&C. En la versión que circula actualmente, Emotet descarga el troyano TrickBot que infecta los equipos de Windows.
TrickBot es capaz de realizar múltiples actividades maliciosas dentro de los dispositivos infectados robando la base de datos de los servicios de Active Directory, las claves SSH abiertas, las credenciales VNC, RDP y Putty, y las credenciales bancarias. Después de eso, se propaga a través de la red lateralmente para infectar otros dispositivos.
En algunos casos, TrickBot también se utiliza para implementar el ransomware a través del shell inverso, lo que permitiría a los operadores del ransomware implementar sus programas maliciosos en los dispositivos de la misma red.
Eduque a sus profesionales de seguridad sobre el flujo de trabajo de los ataques de Emotet y garantice que conozcan a TrickBot y sus capacidades. Aconseje a los empleados que no abran correos electrónicos anónimos o archivos adjuntos sin la confirmación del remitente. Además, bloquee los correos electrónicos de los dominios de la lista negra para reducir la probabilidad de encontrar malware.
El empleo de un procedimiento de seguridad adecuado para el navegador, como la actualización de plugins y extensiones, el aislamiento del navegador, la restricción de las descargas de archivos de sitios web no autorizados y la aplicación del modo de quiosco para garantizar que los empleados accedan sólo a sitios web y aplicaciones web empresariales aprobados por TI, puede dar a los profesionales de la seguridad una ventaja sobre estos correos electrónicos de phishing.
Sin embargo, si el malware ya está dentro de la red y ha infectado sus dispositivos, entonces es hora de reaccionar. Para detectar y neutralizar las amenazas lo antes posible, emplee una solución de protección de endpoints que pueda detectar esas amenazas y eliminarlas. Además, es importante garantizar que su antivirus esté actualizado con las últimas definiciones de malware para que pueda detectar y eliminar eficazmente amenazas como éstas.
