El TA542 regresa con Emotet y se convierte en la principal amenaza por volumen de mensajes

Guardar

security-2972105_1280
security-2972105_1280

Tras más de cinco meses de parón, el actor de amenazas TA542 ha reanudado con fuerza su distribución del malware Emotet a través del correo electrónico, según ha informado Proofpoint, que ha señalado que se ha convertido así en el grupo de ciberdelincuentes predominante del panorama de amenazas por volumen de mensajes que ha registrado.

De acuerdo a la compañía de ciberseguridad y cumplimiento normativo, es habitual que las campañas de Emotet se tomen ciertos descansos a lo largo del año, pero nunca antes se había observado un período de inactividad tan prolongado: duró desde el 7 de febrero, la última vez que se había detectado al TA542, hasta el 17 de julio, la fecha en la que marcó su regreso.

"A pesar de este largo descanso, Emotet sigue siendo una de las amenazas más peligrosas en la actualidad, y con una frecuencia de mensajes a la que pocos ciberdelincuentes se acercan. El TA542 se dirige normalmente a todo tipo de sectores y su volumen de correos ahora es aproximadamente el mismo que ante", han advertido desde Proofpoint.

La compañía de ciberseguridad ha llegado a bloquear cientosde miles de mensajes maliciosos e incluso, a veces, ha llegado a contabilizarcerca de un millón en la primera jornada de las campañas individuales delgrupo.

Así ha evolucionado el grupo TA542

Proofpoint ha explicado las tácticas o herramientas que utiliza el grupo TA542 a día de hoy. Para sorpresa de los expertos en ciberseguridad, apenas han cambiado durante esta pausa tan larga, aunque sí tienen algunos avances.

Entre los más destacados están, por un lado, la distribución del asociado Qbot "partner01" como carga útil principal entregada por Emotet en lugar de The Trick, y por otro, el envío de archivos adjuntos inofensivos junto con otros maliciosos.

El grupo TA542 también ha ampliado la lista de países oregiones que tiene como objetivo. Ya lo eran Alemania, América Latina, Austria,Canadá, España, Estados Unidos, Italia, Japón, Noruega, Países Bajos, ReinoUnido, Suiza y Vietnam, y ahora se han sumado Indonesia, Filipinas, India,Indonesia y Suecia.

En lo que no ha cambiado el grupo TA542 es en el uso dedocumentos adjuntos en Word, PDF y URLs enlazando a archivos en Word, y enenviar mensajes muy localizados en distintos idiomas con simples llamadas a laacción y "ganchos" más bien genéricos, como asuntos de actualidadrelacionados con la Covid-19.

Siguiendo la información de Proofpoint, otra característica es que buena parte de los emails con Emotet responden a alguna conversación previa mediante esta misma vía, por lo que el asunto comienza con "Re:" o "RE:" seguido del tema del correo robado.

Aunque las campañas de Emotet se envían normalmente de lunes a viernes, en esta ocasión hubo algunas excepciones, concretamente, el TA542 no mandó emails maliciosos el viernes, 24 de junio; lunes, 3 de agosto; martes, 4 de agosto; ni tampoco entre 17 de julio ni el 18 de agosto.

"Emotet no ha perdido potencia como amenaza altamente dañina"

Antes de que Emotet reapareciera, se dieron señales de que esto sucedería. De hecho, los investigadores de Proofpoint ya detectaron el 14 de julio correos electrónicos con antiguas URLs de Emotet cuyo remitente  procedía de numerosas IP, como si se hubiesen reactivado múltiples bots Emotet.

Con todo, e independientemente de que los señuelos, mecanismos de entrega u objetivos geográficos sean similares a los que se habían observado en un pasado o cambien ahora, desde Proofpoint subrayan que "Emotet no ha perdido potencia como amenaza altamente dañina".