Autoridades policiales desbaratan la red EMOTET a escala global

EMOTET ha sido uno de los servicios m谩s profesionales y duraderos de la ciberdelincuencia.

Las autoridades policiales y judiciales de todo el mundo han desbaratado esta semana una de las redes de bots m谩s importantes de la 煤ltima d茅cada: EMOTET. Los investigadores han tomado el control de su infraestructura en una acci贸n internacional coordinada, informa Europol en un comunicado.

Esta operaci贸n es el resultado de un esfuerzo de colaboraci贸n entre las autoridades de los Pa铆ses Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canad谩 y Ucrania, con una actividad internacional coordinada por Europol y Eurojust. Esta operaci贸n se llev贸 a cabo en el marco de la Plataforma Europea Multidisciplinar contra las Amenazas Criminales (EMPACT).

EMOTET ha sido uno de los servicios m谩s profesionales y duraderos de la ciberdelincuencia. Descubierto por primera vez como un troyano bancario en 2014, el malware evolucion贸 hasta convertirse en la soluci贸n a la que recurr铆an los ciberdelincuentes a lo largo de los a帽os. La infraestructura de EMOTET actuaba esencialmente como una puerta de entrada a los sistemas inform谩ticos a escala mundial. Una vez establecido este acceso no autorizado, se vend铆a a otros grupos criminales de alto nivel para desplegar otras actividades il铆citas como el robo de datos y la extorsi贸n a trav茅s de ransomware.

Propagaci贸n a trav茅s de documentos de Word

El grupo EMOTET consigui贸 llevar el correo electr贸nico como vector de ataque a un nivel superior. A trav茅s de un proceso totalmente automatizado, el malware EMOTET llegaba a las computadoras de las v铆ctimas a trav茅s de archivos adjuntos de correo electr贸nico infectados. Se utiliz贸 una variedad de se帽uelos diferentes para enga帽ar a los usuarios desprevenidos para que abrieran estos archivos adjuntos maliciosos. Hasta ahora, las campa帽as de correo electr贸nico de EMOTET tambi茅n se presentaban como facturas, avisos de env铆o e informaci贸n sobre COVID-19.

Todos estos correos electr贸nicos conten铆an documentos de Word maliciosos, adjuntos al propio correo electr贸nico o que se pod铆an descargar haciendo clic en un enlace dentro del propio correo electr贸nico. Una vez que el usuario abr铆a uno de estos documentos, se le ped铆a que “habilitara las macros” para que el c贸digo malicioso oculto en el archivo de Word pudiera ejecutarse e instalar el malware EMOTET en el PC de la v铆ctima.

Ataques por encargo

EMOTET ha sido mucho m谩s que un simple malware. Lo que hizo que EMOTET fuera tan peligroso es que el malware se ofrec铆a en alquiler a otros ciberdelincuentes para instalar otros tipos de malware, como troyanos bancarios o ransomwares, en el ordenador de la v铆ctima.

Este tipo de ataque se denomina operaci贸n “loader”, y seg煤n se afirma, EMOTET es uno de los mayores actores del mundo del cibercrimen, ya que otros operadores de malware como TrickBot y Ryuk se han beneficiado de 茅l.

Su forma 煤nica de infectar las redes mediante la propagaci贸n lateral de la amenaza despu茅s de obtener acceso a unos pocos dispositivos de la red lo convirti贸 en uno de los programas maliciosos m谩s resistentes que existen.

La infraestructura de EMOTET, desbaratada

La infraestructura que utilizaba EMOTET inclu铆a varios cientos de servidores ubicados en todo el mundo, todos ellos con diferentes funcionalidades para controlar los equipos de las v铆ctimas infectadas, propagarse a otros nuevos, servir a otros grupos criminales y, en definitiva, hacer la red m谩s resistente a los intentos de desmantelamiento.

Para desbaratar radicalmente la infraestructura de EMOTET, las fuerzas del orden se unieron para crear una estrategia operativa eficaz. El resultado fue la acci贸n de esta semana, en la que las fuerzas del orden y las autoridades judiciales se hicieron con el control de la infraestructura y la derribaron desde dentro. Las m谩quinas infectadas de las v铆ctimas han sido redirigidas hacia esta infraestructura controlada por las fuerzas del orden. Se trata de un enfoque 煤nico y novedoso para interrumpir eficazmente las actividades de los facilitadores de la ciberdelincuencia.

C贸mo protegerse de los cargadores

Muchas botnets como EMOTET son de naturaleza polim贸rfica. Esto significa que el malware cambia su c贸digo cada vez que es llamado. Dado que muchos programas antivirus analizan el ordenador en busca de c贸digos de malware conocidos, un cambio de c贸digo puede dificultar su detecci贸n, permitiendo que la infecci贸n pase inicialmente desapercibida.

Una combinaci贸n de herramientas de ciberseguridad actualizadas (antivirus y sistemas operativos) y de concienciaci贸n en materia de ciberseguridad es esencial para evitar ser v铆ctima de botnets sofisticados como EMOTET. Los usuarios deben revisar cuidadosamente su correo electr贸nico y evitar abrir mensajes y, especialmente, archivos adjuntos de remitentes desconocidos. Si un mensaje parece demasiado bueno para ser verdad, es probable que lo sea, y los correos electr贸nicos que impliquen un sentido de urgencia deben evitarse a toda costa.

En el marco de la investigaci贸n criminal llevada a cabo por la Polic铆a Nacional de los Pa铆ses Bajos sobre EMOTET, se descubri贸 una base de datos que conten铆a direcciones de correo electr贸nico, nombres de usuario y contrase帽as robadas por EMOTET. Puede comprobar si su direcci贸n de correo electr贸nico ha sido comprometida. Como parte de la estrategia global de remediaci贸n, para iniciar la notificaci贸n a los afectados y la limpieza de los sistemas, se distribuy贸 informaci贸n a nivel mundial a trav茅s de la red de los llamados Equipos de Respuesta a Emergencias Inform谩ticas (CERT).

Adolf Streda, analista de malware de Avast, coment贸 a Diario TI: “El desmantelamiento de Emotet supone un hito muy relevante en la lucha contra la ciberdelincuencia. Emotet ha sido como una navaja suiza, por sus m煤ltiples habilidades para robar contrase帽as, sustraer dinero de cuentas bancarias y agregar los dispositivos de las victimas a las redes de bots, para lanzar as铆 m谩s campa帽as de phishing. Este malware ha utilizado potentes m茅todos de ocultaci贸n para evitar ser neutralizado por los antivirus, y ha sido ofrecido por sus creadores como servicio de malware a otros ciberdelincuentes. Ver la desarticulaci贸n de este malware por parte de las autoridades competentes es una noticia muy positiva para el mundo de la ciberseguridad teniendo en cuenta su amplio alcance y la gran cantidad de familias de malware reconocidas atribuidas a su infraestructura”.




Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.