¿Qué es Emotet y por qué es tan peligroso?

 

El ransomware se ha convertido en la principal amenaza para organizaciones de todas las formas y tamaños. De acuerdo con un análisis de la unidad de investigación de SILIKN, el 49.7% de las organizaciones se han visto afectadas por ataques de ransomware durante 2019 y el primer semestre del 2020 y el costo promedio para remediar un ataque ha alcanzado los $820,309 dólares a nivel mundial.

 

Si bien existen numerosos tipos de ransomware, una de las versiones más prominentes y peligrosas es Emotet. Y si bien Emotet ha proliferado en países como Estados Unidos, Canadá, España, Alemania, Austria, Suiza y Reino Unido, también está impactando a las organizaciones en América Latina, teniendo en los primeros sitios a Brasil y México.

¿Qué es Emotet y por qué es tan peligroso?

 

Emotet es un troyano disponible a través de un modelo de malware como servicio (MaaS). Esto significa que los ciberdelincuentes pueden descargar un paquete, a menudo por unos pocos cientos de dólares o una tarifa de suscripción mensual y atacar directamente a empresas e individuos.

 

La carga útil inicial (payload), que generalmente se envía por correo electrónico, documentos infectados o sitios web, libera un script, macro o código que funciona como un gusano que infecta varios sistemas y aplicaciones de software, como una libreta de direcciones de Outlook o a los contenedores basados en la nube.

 

En muchos casos, Emotet permanece inactivo durante 30 a 45 días antes de lanzar un ataque de ransomware y es muy eficaz porque descarga continuamente componentes de malware a medida que avanza por los sistemas. Muchas herramientas de seguridad convencionales, como los firewalls, no son efectivas porque Emotet crea canales encriptados que las defensas de la red no pueden detectar.

 

Entonces, una vez que Emotet ha capturado y cifrado los archivos, los ladrones cibernéticos exigen un rescate, a menudo pagado a través de criptomonedas imposibles de rastrear, como Bitcoin.

 

Normalmente, una infección se produce cuando alguien hace click en un enlace de un correo electrónico, a menudo mediante un ataque de phishing. Esto dirige al usuario a un sitio o servicio que descarga el archivo malicioso inicial. Una vez que esta macro o código residen en una computadora, comienzan a buscar otras computadoras conectadas y se propaga, distribuyendo aún más el malware. Con frecuencia, utiliza Microsoft Outlook para generar correos electrónicos.

 

A medida que Emotet infecta los sistemas, realiza ataques de fuerza bruta en las cuentas, buscando descifrar contraseñas y obtener acceso a datos seguros. En algún momento, captura y cifra estos archivos. Una vez que los ciberdelincuentes retienen los datos encriptados, y la empresa está bloqueada, exigen un rescate. El precio puede variar desde unos pocos miles de dólares hasta millones de dólares. De acuerdo con el estudio de la unidad de investigación de SILIKN, cerca del 85% de las organizaciones finalmente recuperan el control de sus datos, pero a un costo promedio de $820,309 por incidente.

 

Emotet existe en varias versiones diferentes e incorpora un diseño modular. Esto hace que sea más difícil de identificar y bloquear. Utiliza técnicas de ingeniería social para ingresar a los sistemas y es bueno para evitar la detección. Además, las campañas de Emotet están en constante evolución. Algunas versiones roban credenciales bancarias y datos empresariales altamente sensibles, que los ciberdelincuentes pueden amenazar con divulgar públicamente.

 

Un correo electrónico inicial puede parecer que proviene de una fuente confiable, como un gerente o un alto ejecutivo de la compañía, o puede ofrecer un enlace a lo que parece ser un sitio o servicio legítimo. Por lo general, se basa en técnicas de compresión de archivos, como ZIP, que propagan la infección a través de varios formatos de archivo, incluidos .doc, docx y .exe. Esto oculta el nombre real del archivo a medida que se mueve dentro de una red.

 

Estos documentos pueden contener frases como “detalles de pago” o “actualice su archivo de recursos humanos” para engañar a los destinatarios para que activen cargas útiles. Algunos mensajes han girado recientemente en torno a COVID-19. A menudo provienen de una dirección de correo electrónico legítima dentro de la empresa y pueden incluir archivos tanto benignos como infectados. Es más, Emotet puede detectar el entorno en el que se está ejecutando. Por ejemplo, sabe cuándo reside dentro de una máquina virtual (VM) y permanece inactivo para evitar la detección de los escáneres de malware.

 

Emotet utiliza servidores de comando y control para recibir actualizaciones de forma subrepticia. Esto permite a los atacantes actualizar el código de malware y plantar otros troyanos. También es posible limpiar una computadora pero luego hacer que vuelva a aparecer el malware.

 

¿Cuáles son algunas formas de hacer frente a Emotet?

  • Implementar software de seguridad que identifique y bloquee los correos electrónicos potencialmente peligrosos.
  • Proteger todos los dispositivos administrados y no administrados que se conectan a la red.
  • Crear contraseñas sólidas y autenticación multifactor, parches consistentes y el uso de software de inteligencia de amenazas.
  • Finalmente, y muy importante: entrenamiento y capacitación para que los empleados aprendan a detectar correos electrónicos sospechosos.

 

Víctor Ruiz, fundador de SILIKN

Deja un comentario

Tu dirección de correo electrónico no será publicada.

PHP Code Snippets Powered By : XYZScripts.com