La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EEUU (Homeland Security) lanzaron el 7 de octubre de 2020 una advertencia/alerta sobre un gran aumento en la actividad del troyano Emotet.
Históricamente, la red de bots de spam Emotet se ha relacionadocon la distribución de troyanos bancarios, pero en estos días arrojaspam cargado de malware y luego vende acceso a ordenadores infectados acualquier grupo delictivo, incluidos los operadores de ransomware.
Microsoft, Italia y los Países Bajos advirtieron el mes de septiembre pasado sobre un aumento en la actividad de spam malicioso de Emotet, que se produjo unas semanas después de que Francia, Japón y Nueva Zelanda emitieran también sus alertas sobre el mismo troyano.
Emotet estuvo tranquilo después de febrero, pero regresó con fuerza en julio pasado. CISA describe Emotet como un "troyano sofisticado que normalmente funciona como descargador o lanzador de otro malware" y "una de las amenazas continuas más frecuentes".
La evaluación de CISA es comprensible dado que se consideraque Emotet es actualmente el botnet de malware más grande del mundo.
Desde agosto, CISA y el Centro de Análisis e Intercambio deInformación de varios estados (MS-ISAC) han observado a los atacantes dirigidosa los gobiernos estatales y locales con correos electrónicos de phishing deEmotet.
Emotet se propaga con funciones similares a las de un gusanoa través de archivos adjuntos de correo electrónico de phishing o enlaces quecargan un archivo adjunto de phishing. Después de abrirse, Emotet trabaja paraextenderse por una red adivinando las credenciales de administrador y usándolaspara escribir de forma remota en unidades compartidas, utilizando el protocolode intercambio de archivos SMB, que le da al atacante la capacidad de moverselateralmente a través de una red.
CISA dice que, desde julio, su sistema interno de detecciónde intrusiones Einstein para redes del poder ejecutivo federal -depende delpresidente de EEUU, hoy, Donald Trump- y también para uso civil, ha detectado16.000 alertas relacionadas con la actividad de Emotet.
Microsoft notó en septiembre que Emotet también estaba usando archivos adjuntos ZIP de correo electrónico protegidos con contraseña en lugar de documentos de Office, para evitar las puertas de enlace de seguridad del correo electrónico.
Las advertencias europeas de Emotet se produjeron después deque los investigadores vieran que el botnet soltaba Trickbot para entregarransomware y Qakbot Trojan para robar credenciales bancarias.
Otra estratagema que utiliza Emotet actualmente essecuestrar hilos de correo electrónico. El grupo Emotet toma una cadena decorreo electrónico existente -de un host infectado- y responde al hilocon un documento malicioso adicional adjunto.
Lo que hay detrás de todo ello…
Dentro de todas las amenazas que tenemos presentes en lared, en los últimos tiempos han sido muy populares TrickBot y Emotet. Sonvariedades de malware que tienen como objetivo poner en riesgo la seguridad yprivacidad de los usuarios. Algo que destaca de ellos es que se actualizanconstantemente para poder atacar a los usuarios. Buscan nuevas técnicas y esohace que sea también más complicado de detectar y eliminar.
Según un grupo de investigadores de seguridad que hanencontrado este problema, TrickBot y Emotet están utilizando textosrelacionados con el coronavirus. ¿Qué consiguen con esto? Básicamente lo quelogran es que los sistemas de seguridad puedan no detectar estas amenazas.Significa que pueden evitar que la inteligencia artificial o el aprendizajeautomatizado les afecte.
Cuando realizan un ataque Phishing para introducir malware,los piratas informáticos buscan la manera de intentar evitar los antivirus yotras herramientas de seguridad. Buscan ocultar ese software malicioso para queno sea detectado. Ahora parece que lo están logrando gracias al coronavirus.Especialmente es útil para evitar la inteligencia artificial y aprendizajeautomático de las herramientas de seguridad.
Se basan en textos de noticias relacionadas con el coronavirus. No es la primera vez que se aprovechan de algo que está muy presente en la sociedad en un momento dado, ya anteriormente utilizaron mensajes relacionados con el juicio político a Trump, por ejemplo.
Ahora están utilizando noticias relacionadas con elcoronavirus como parte de la descripción del malware. De esta forma puedeneludir algunas herramientas de seguridad, como hemos indicado.
Hay que mencionar que el uso del coronavirus para realizarataques no es ni mucho menos exclusivo de estas amenazas tan populares. Hemosvisto en los últimos días cómo muchos ataques se basan en intentar colarinformación relacionada con esta pandemia para captar la atención de losusuarios.
En las últimas semanas se han llevado a cabo múltiples ataques phishing, ransomware y otras variedades de malware donde el foco de atención principal es el coronavirus. No hay dudas de que es algo que está en primera plana en todo el mundo. Los usuarios pueden recibir, por ejemplo, un archivo por correo electrónico con supuesta información sobre el coronavirus. Al abrirlo o descargarlo en realidad estarían ante un archivo malicioso que puede ser un simple Word, Excel o PDF.
Jorge Díaz Cardiel es Socio Director General de Advice Strategic Consultants