Operación internacional para desbaratar Emotet, la botnet más grande del mundo

Las autoridades policiales y judiciales de todo el mundo han interrumpido esta semana una de las redes de bots más importantes de la última década: EMOTET. Los investigadores ahora han tomado el control de su infraestructura en una acción internacional coordinada.

Esta operación es el resultado de un esfuerzo de colaboración entre autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, con una actividad internacional coordinada por Europol y Eurojust. Esta operación se llevó a cabo en el marco de la Plataforma Multidisciplinar Europea Contra las Amenazas Criminales (EMPACT).

EMOTET ha sido uno de los servicios de ciberdelincuencia más profesionales y duraderos que existen. Descubierto por primera vez como un troyano bancario en 2014, el malware evolucionó hasta convertirse en la solución de referencia para los ciberdelincuentes a lo largo de los años. La infraestructura de EMOTET actuó esencialmente como un abridor de puertas principal para los sistemas informáticos a escala global. Una vez que se estableció este acceso no autorizado, estos se vendieron a otros grupos delictivos de alto nivel para implementar más actividades ilícitas, como el robo de datos, desvíos de dinero y la extorsión a través de ransomware.

Difundir a través de documentos de Word

El grupo EMOTET utilizó el correo electrónico como vector de ataque, pero con un nivel de sofisticación mayor al que se veía normalmente. A través de un proceso completamente automatizado, el malware EMOTET se enviaba a los dispositivosde las víctimas a través de archivos adjuntos de correo electrónico infectados. Se utilizó una variedad de señuelos diferentes para engañar a los usuarios desprevenidos para que abran estos archivos adjuntos maliciosos. Por lo general, enmascaraba el remitente para hacerlo parecer de un contacto conocido de la víctima. En el pasado, las campañas de correo electrónico de EMOTET también se presentaban como facturas, avisos de envío e información sobre COVID-19.

Todos estos correos electrónicos contenían documentos de Word maliciosos, ya sea adjuntos al correo electrónico o descargables haciendo clic en un enlace dentro del correo electrónico. Una vez que un usuario abre uno de estos documentos, se le puede solicitar que «habilite macros» para que el código malicioso oculto en el archivo de Word pueda ejecutarse e instalar el malware EMOTET en la computadora de la víctima.

Riesgos de EMOTET

EMOTET era mucho más que un malware. Lo que hizo a EMOTET tan peligroso es que el malware se ofreció en alquiler a otros ciberdelincuentes para instalar otros tipos de malware, como troyanos bancarios o ransomwares, en los dispositivos de la víctima.

Este tipo de ataque se denomina operación de ‘cargador’ y se dice que EMOTET es uno de los principales actores en el mundo del ciberdelito, ya que otros operadores de malware como TrickBot y Ryuk se han beneficiado de él.

Su forma única de infectar redes al difundir la amenaza lateralmente después de obtener acceso a solo unos pocos dispositivos en la red lo convirtió en uno de los programas maliciosos más resistentes en la naturaleza.

Interrupción de la infraestructura de EMOTET

La infraestructura que fue utilizada por EMOTET involucró a varios cientos de servidores ubicados en todo el mundo, todos ellos con diferentes funcionalidades para administrar las computadoras de las víctimas infectadas, propagarse a otras nuevas, servir a otros grupos criminales y, en última instancia, hacer la red más resistente contra los intentos de eliminación.

Para interrumpir a largo plazo la infraestructura de EMOTET, las fuerzas del orden se unieron para crear una estrategia operativa eficaz. Las máquinas infectadas de las víctimas se han redirigido hacia esta infraestructura controlada por las fuerzas del orden. No solo han tomado control de la infraestructura de comando y control, sino que, a través de uno de los servidores controlados, han inyectado una modificación en el malware a través de una actualización controlada, una «bomba de tiempo» en el código del malware que ejecutará una rutina de desinstalación del malware el próximo 25 de abril. De esta manera se logra, no solo interrumpir el control de la botnet, sino incluso desinfectar las máquinas afectadas de todo el mundo. Se proporciona esta ventana de tiempo hasta el 25 de abril tal que los administradores de redes e investigadores puedan realizar el análisis y tomar acciones pertinentes, si es que lo consideran necesario.

Este es un enfoque novedoso y único para interrumpir de manera efectiva y a largo plazo las actividades de los facilitadores del ciberdelito.

Detectar EMOTET en su red

Si bien, al haber sido interrumpida la infraestructura de servidores de comando y control, el malware ya no ejecutaría ninguna acción maliciosa, es importante que los administradores de redes puedan identificar máquinas afectadas en su red, especialmente para reforzar las medidas de protección, así como también para determinar las acciones dañinas que haya ejecutado el malware cuando estuvo operativo.

Para detectar la presencia de Emotet en la red, se puede utilizar varias estrategias:

  • Configurar un filtro o alerta, ya sea en el firewall, IDS/IPS, router o similar para alertar cuando alguna máquina de la red establezca una conexión hacia alguno de los servidores C&C actuales*:
    • 80.158.3[.]161:443
    • 80.158.51[.]209:8080
    • 80.158.35[.]51:80
    • 80.158.63[.]78:443
    • 80.158.53[.]167:80
    • 80.158.62[.]194:443
    • 80.158.59[.]174:8080
    • 80.158.43[.]136:80
  • Utilizar alguna herramienta de detección específica de Emotet, como por ejemplo EmoCheck, desarrollado por JPCERTCC: https://github.com/JPCERTCC/EmoCheck. En caso de contar con muchas máquinas en la red, suele ser recomendable ejecutar esta herramienta de manera centralizada, remotamente, a través de la controladora de dominio, la consola de administración de su antivirus u otra herramienta de gestión centralizada
  • Analizar las máquinas de la red con algún antivirus. La mayoría de los antivirus reconocen Emotet por lo que deberían detectarlo, si es que el agente de antivirus está activo y bien configurado.

* Obs.: Es importante señalar que estas IPs corresponden a servidores C&C controlados que no realizan ninguna acción dañina, por lo que no es necesario (ni es recomendable) intentar bloquear estas IPs

En caso de detectar la presencia de Emotet en la red, es importante analizar la red en busca de otros malware que suelen ser implantados a través de Emotet.

Recomendaciones

  • Verificar si su dirección de correo electrónico ha sido comprometida por Emotet y se ha utilizado para enviar correos electrónicos maliciosos. Para ello se puede utilizar el portal de la Policía Nacional Holandesa que lo ayudará a buscar en una base de datos de direcciones de correo electrónico, nombres de usuario y contraseñas robadas por Emotet.
  • Utilizar una combinación de herramientas de ciberseguridad actualizadas (antivirus y sistemas operativos).
  • Revisar cuidadosamente su correo electrónico y evitar abrir mensajes y especialmente archivos adjuntos de remitentes desconocidos, o aquellos que tienen un sentido de urgencia.

Referencias

Compartir: