Malware Emotet

Emotet (también conocido como Heodo y Geodo) es una familia modular de malware polimórfico de acceso inicial en primera fase descubierto por primera vez en 2014. Se considera una de las cepas de malware más peligrosas del mundo debido a sus numerosas variantes únicas y evasivas. Emotet comenzó como un troyano bancario, pero desde 2017 sus capacidades se han limitado a actuar principalmente como troyano de acceso inicial para distribuir malware y ransomware de segunda fase de primer nivel, como Conti, Ryuk, Trickbot y Qakbot.

Emotet se atribuye a un grupo de intermediarios de acceso inicial (IAB) conocido como TA542 (también conocido como Mummy Spider y MealyBug) que opera una exitosa empresa criminal de malware como servicio (MaaS). Antes de 2015, Emotet se vendía públicamente en foros de la red oscura, pero ahora solo está disponible de forma privada para los afiliados cercanos de TA542. Restringir la disponibilidad de Emotet permite desplegarlo de forma más estratégica y dificulta a los investigadores de seguridad el análisis de la versión más reciente y el desarrollo de contramedidas.

2021 fue un año especialmente agitado para Emotet. En enero de 2021, un esfuerzo internacional combinado que incluía a EUROPOL y al FBI tomó medidas enérgicas contra los operadores de la botnet Emotet; sin embargo, la policía ucraniana anunció la detención de sólo dos sospechosos. El esfuerzo conjunto de las fuerzas de seguridad también desplegó una solución para desinfectar a las víctimas de la botnet zombi Emotet mediante una actualización que ordenaba la desinstalación del propio malware. Sin embargo, en noviembre de 2021, Emotet volvió a aparecer con nuevas variantes y técnicas, devolviendo rápidamente a su botnet toda su funcionalidad.

Como malware de primera fase, Emotet se distribuye a través de campañas de phishing y malspam que emplean una amplia variedad de contextos de ingeniería social, como facturas vencidas, avisos de entrega de paquetes, alertas COVID-19 y temas bancarios, para atraer a las víctimas y hacer que ejecuten un archivo adjunto de correo electrónico armado o una carga útil vinculada a una URL. Las cargas útiles de Emotet suelen estar incrustadas en documentos de Microsoft Office, pero también se han encontrado en archivos PDF, ejecutables y scripts, archivos ZIP comprimidos y otros vectores de ataque novedosos.

Se sabe que las cargas útiles de Emotet utilizan prácticamente todos los exploits conocidos y muchos exploits de "día cero" no revelados para ir un paso por delante de los investigadores de seguridad. Una vez instalado, Emotet puede forzar contraseñas, robar credenciales de usuario de los principales navegadores y clientes de correo electrónico, y mantener su persistencia. Emotet también puede desplazarse lateralmente como un gusano dentro de una red local y actualizarse automáticamente para importar nuevos módulos. Para eludir la detección, Emotet utiliza nombres de archivo generados aleatoriamente y cambia periódicamente la ubicación y el nombre de su ejecutable .exe y las claves de registro Autorun de Windows asociadas que garantizan que se inicie automáticamente cuando se reinicia el sistema infectado.

Las técnicas más eficaces de Emotet son las siguientes:

• Análisis de la información robada para desarrollar contextos de ingeniería social 
• Añadir mensajes con archivos adjuntos troyanizados a conversaciones existentes en cuentas de correo electrónico comprometidas.
• Evita la detección de los productos de seguridad que bloquean las URL maliciosas conocidas utilizando sitios web pirateados para alojar sus cargas útiles de primera etapa. 
• Utilizan las cuentas Microsoft de sus víctimas para difundir a través de enlaces OneDrive y evitar así ser bloqueados
• Imitar la imagen de marca de grandes empresas para entregar facturas falsas, información sobre entregas u ofertas de trabajo falsas.
• Intento de extorsionar a las víctimas con malware coercitivo de "sextorsión".
• Uso de credenciales robadas para propagarse a través de vulnerabilidades de servicios SMB
• Uso de shellcode de 64 bits y PowerShell para ejecutar e instalar cargas útiles de segunda fase

Los esfuerzos para prevenir un ataque Emotet pueden apoyarse en una mayor concienciación de los usuarios sobre los ataques de ingeniería social y phishing. Sin embargo, también es importante instalar, configurar y actualizar periódicamente los productos de seguridad para puntos finales y actualizar todos los sistemas operativos, servicios y aplicaciones en todo el entorno de TI de una organización tan pronto como sea posible después de su lanzamiento. Los productos BlackBerry™ Cyber Suite se actualizan continuamente para proteger su entorno contra la versión más reciente del troyano Emotet.

Estas son las estrategias más eficaces para prevenir un ataque de Emotet:

• Configurar los clientes de correo electrónico para que notifiquen a los usuarios cuando los mensajes procedan de fuera de la organización.
• Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
• Reconocer el mayor riesgo que presentan los archivos cifrados y verificar minuciosamente el contexto de dichos documentos antes de abrirlos.
• Utilizar un proxy de contenidos para supervisar el uso de Internet y restringir el acceso de los usuarios a sitios sospechosos o de riesgo.
• Asegúrese de que sólo se instala software autorizado y firmado digitalmente en todos los puestos finales y analice periódicamente en busca de software no autorizado y bloquee su ejecución.
• Asegúrese de que las aplicaciones de Office están configuradas con Desactivar todas las macros sin notificación o Desactivar todas las macros excepto las firmadas digitalmente .
• Preste especial atención a las notificaciones de advertencia de los clientes de correo electrónico y las aplicaciones de Office que pueden alertarle de contextos sospechosos, como archivos que no han sido analizados en busca de malware o que contienen macros VBA.
• Instale y configure productos de seguridad para puntos finales que analicen los documentos cifrados inmediatamente después de descifrarlos.
• Implantar soluciones de confianza cero siempre que sea posible, dando prioridad a los sistemas críticos.