Autoridades policiales desbaratan la red EMOTET a escala global

EMOTET ha sido uno de los servicios más profesionales y duraderos de la ciberdelincuencia.

Las autoridades policiales y judiciales de todo el mundo han desbaratado esta semana una de las redes de bots más importantes de la última década: EMOTET. Los investigadores han tomado el control de su infraestructura en una acción internacional coordinada, informa Europol en un comunicado.

Esta operación es el resultado de un esfuerzo de colaboración entre las autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, con una actividad internacional coordinada por Europol y Eurojust. Esta operación se llevó a cabo en el marco de la Plataforma Europea Multidisciplinar contra las Amenazas Criminales (EMPACT).

EMOTET ha sido uno de los servicios más profesionales y duraderos de la ciberdelincuencia. Descubierto por primera vez como un troyano bancario en 2014, el malware evolucionó hasta convertirse en la solución a la que recurrían los ciberdelincuentes a lo largo de los años. La infraestructura de EMOTET actuaba esencialmente como una puerta de entrada a los sistemas informáticos a escala mundial. Una vez establecido este acceso no autorizado, se vendía a otros grupos criminales de alto nivel para desplegar otras actividades ilícitas como el robo de datos y la extorsión a través de ransomware.

Propagación a través de documentos de Word

El grupo EMOTET consiguió llevar el correo electrónico como vector de ataque a un nivel superior. A través de un proceso totalmente automatizado, el malware EMOTET llegaba a las computadoras de las víctimas a través de archivos adjuntos de correo electrónico infectados. Se utilizó una variedad de señuelos diferentes para engañar a los usuarios desprevenidos para que abrieran estos archivos adjuntos maliciosos. Hasta ahora, las campañas de correo electrónico de EMOTET también se presentaban como facturas, avisos de envío e información sobre COVID-19.

Todos estos correos electrónicos contenían documentos de Word maliciosos, adjuntos al propio correo electrónico o que se podían descargar haciendo clic en un enlace dentro del propio correo electrónico. Una vez que el usuario abría uno de estos documentos, se le pedía que «habilitara las macros» para que el código malicioso oculto en el archivo de Word pudiera ejecutarse e instalar el malware EMOTET en el PC de la víctima.

Ataques por encargo

EMOTET ha sido mucho más que un simple malware. Lo que hizo que EMOTET fuera tan peligroso es que el malware se ofrecía en alquiler a otros ciberdelincuentes para instalar otros tipos de malware, como troyanos bancarios o ransomwares, en el ordenador de la víctima.

Este tipo de ataque se denomina operación «loader», y según se afirma, EMOTET es uno de los mayores actores del mundo del cibercrimen, ya que otros operadores de malware como TrickBot y Ryuk se han beneficiado de él.

Su forma única de infectar las redes mediante la propagación lateral de la amenaza después de obtener acceso a unos pocos dispositivos de la red lo convirtió en uno de los programas maliciosos más resistentes que existen.

La infraestructura de EMOTET, desbaratada

La infraestructura que utilizaba EMOTET incluía varios cientos de servidores ubicados en todo el mundo, todos ellos con diferentes funcionalidades para controlar los equipos de las víctimas infectadas, propagarse a otros nuevos, servir a otros grupos criminales y, en definitiva, hacer la red más resistente a los intentos de desmantelamiento.

Para desbaratar radicalmente la infraestructura de EMOTET, las fuerzas del orden se unieron para crear una estrategia operativa eficaz. El resultado fue la acción de esta semana, en la que las fuerzas del orden y las autoridades judiciales se hicieron con el control de la infraestructura y la derribaron desde dentro. Las máquinas infectadas de las víctimas han sido redirigidas hacia esta infraestructura controlada por las fuerzas del orden. Se trata de un enfoque único y novedoso para interrumpir eficazmente las actividades de los facilitadores de la ciberdelincuencia.

Cómo protegerse de los cargadores

Muchas botnets como EMOTET son de naturaleza polimórfica. Esto significa que el malware cambia su código cada vez que es llamado. Dado que muchos programas antivirus analizan el ordenador en busca de códigos de malware conocidos, un cambio de código puede dificultar su detección, permitiendo que la infección pase inicialmente desapercibida.

Una combinación de herramientas de ciberseguridad actualizadas (antivirus y sistemas operativos) y de concienciación en materia de ciberseguridad es esencial para evitar ser víctima de botnets sofisticados como EMOTET. Los usuarios deben revisar cuidadosamente su correo electrónico y evitar abrir mensajes y, especialmente, archivos adjuntos de remitentes desconocidos. Si un mensaje parece demasiado bueno para ser verdad, es probable que lo sea, y los correos electrónicos que impliquen un sentido de urgencia deben evitarse a toda costa.

En el marco de la investigación criminal llevada a cabo por la Policía Nacional de los Países Bajos sobre EMOTET, se descubrió una base de datos que contenía direcciones de correo electrónico, nombres de usuario y contraseñas robadas por EMOTET. Puede comprobar si su dirección de correo electrónico ha sido comprometida. Como parte de la estrategia global de remediación, para iniciar la notificación a los afectados y la limpieza de los sistemas, se distribuyó información a nivel mundial a través de la red de los llamados Equipos de Respuesta a Emergencias Informáticas (CERT).

Adolf Streda, analista de malware de Avast, comentó a Diario TI: «El desmantelamiento de Emotet supone un hito muy relevante en la lucha contra la ciberdelincuencia. Emotet ha sido como una navaja suiza, por sus múltiples habilidades para robar contraseñas, sustraer dinero de cuentas bancarias y agregar los dispositivos de las victimas a las redes de bots, para lanzar así más campañas de phishing. Este malware ha utilizado potentes métodos de ocultación para evitar ser neutralizado por los antivirus, y ha sido ofrecido por sus creadores como servicio de malware a otros ciberdelincuentes. Ver la desarticulación de este malware por parte de las autoridades competentes es una noticia muy positiva para el mundo de la ciberseguridad teniendo en cuenta su amplio alcance y la gran cantidad de familias de malware reconocidas atribuidas a su infraestructura».



Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022