• Home /

  • Ciberseguridad /

  • Emotet y Trickbot, dos botnets que regresan tras sobrevivir a los intentos de ser neutralizadas

Emotet y Trickbot, dos botnets que regresan tras sobrevivir a los intentos de ser neutralizadas

Los hackers habrían infectado a unas 140.000 víctimas de 149 países un año después de desmantelar su infraestructura.

Alberto Payo

Periodista

Guardar

Los ciberdelincuentes habrían infectado a unas 140.000 víctimas de 149 países un año después.
Los ciberdelincuentes habrían infectado a unas 140.000 víctimas de 149 países un año después.

El malwate Trickbot ha resurgido de sus cenizas, pese a los esfuerzos realizados por borrarlo del mapa. Los cibermalos responsables del mismo habrían infectado a unas 140.000 víctimas de 149 países un año después de desmantelar su infraestructura. De hecho, se estaría transformando en un punto de entrada para Emotet, otra botnet que se pensaba que se había eliminado a comienzos de este año. 

Según señala la compañía de seguridad Check Point Research en un informe compartido con The Hacker News, la mayoría de las víctimas que han sido detectada desde noviembre del año pasado han sido de Portugal (18%), EE.UU (14%) e India (5%), seguidas de Brasil (4%), Turquía (3%), Rusia (3%) y China (3%).

"Emotet es un fuerte indicador de futuros ataques de ransomware, ya que el malware proporciona a las bandas de ransomware una puerta trasera hacia las máquinas comprometidas", han comentado los investigadores, los cuales han detectado 223 campañas de Trickbot diferentes en el transcurso de los últimos seis meses.

TrickBot y Emotet son ambas botnets, una red de dispositivos conectados a Internet infectados por malware y que los ciberdelincuentes pueden usar para realizar distintas actividades maliciosas. 

Trickbot se creo como un troyano bancario C++ y como sucesor del malware Dyre en 2016, teniendo capacidades para robar detalles financiertos, credenciales de cuentras y otra información confidencial. Tickbot, difundido con campañas de malspam o lanzado en otro malware como Emotet, podría proceder de un grupo con sede en Rusia denominado Wizar Spider. 

Desde su lanzamiento, la botnet ha evolucionado y ampliado sus capacidades, creando un ecosistema de malware modular completo, convirtiéndolo en una amenaza adaptable y una herramienta que los hackers usarían para llevar a cabo una gran cantidad de actividades ilegales. 

A finales del año pasado un grupo de organizaciones gubernamentales y privadas sumó fuerzas para tratar de frenar el alcance de Trickbot. El US Cyber Commnd (Comando Cibernético de EE.UU) y un grupo de compañías liderado por Microsoft, ESET y Symantec buscaron evitar que los atacantes compraran o alquilaran servidores para operaciones de comando y control. 

Pese a los esfuerzos por erradicarlo, los autores de amenazas han realizado actualicaciones para hacer la botnet más resistente y permita efectuar nuevos ataques. 

Emotet también sigue dando guerra

Por otro lado, las infecciones de Trickbot en noviembre y diciembre han impulsado un aumento del malware Emotet en las máquinas comprometidas. Esto es una muestra clara de que la botnet ha tenido un resurgimiento pese al esfuerzo policial coordinado de hace unos meses para impedir su propagación. 

"Emotet no podía haber elegido una plataforma mejor que Trickbot como servicio de entrega cuando llegó su renacimiento", han señalado los investigadores.

La última ola de ataques de spam pide a los usuarios que descarguen archivos ZIP protegidos con contraseña, que contienen documentos maliciosos que, una vez abiertos y las macros están habilitadas, dan como resultado la implementación del malware Emotet, lo que le permite reconstruir su red de botnets y crecer en volumen. 

"El regreso de Emotet es una señal de advertencia importante para otro aumento en los ataques de ransomware a medida que nos adentramos en 2022", ha asegurado Lotem Finkelstein, jefe de inteligencia de amenazas de Check Point. "Trickbot, que siempre ha colaborado con Emotet, está facilitando el regreso de Emotet lanzándolo sobre las víctimas infectadas. Esto le ha permitido a Emotet comenzar desde una posición muy firme, y no desde cero".