Malware Emotet

5 años ago SOC Axians

Aunque se trata de un malware que ya lleva mucho tiempo circulando por la red, las primeras infecciones se produjeron en 2014, este programa malicioso aún continua en boca de mucha gente, y es que después de cinco años aún continúa propagándose e infectando equipos.

Este troyano es difícil de detectar por parte de los diferentes equipos de seguridad ya que es “polimórfico”, es decir, puede cambiar de forma y ocultar su firma, además de esto cuenta con capacidades que recuerdan a las de un gusano, por lo que es capaz de autorreplicarse en la red del equipo infectado sin permiso de los usuarios, también es capaz de saber en que máquina está funcionando, siendo capaz de detectar máquinas virtuales de sandboxing para no activarse y pasar desapercibido por los controles de seguridad.

Usualmente este malware se propaga a través de correo electrónico con enlaces a URLs maliciosas o archivos adjuntos, que por lo general son ficheros de Office con macros habilitadas. Estos mensajes fraudulentos son más difíciles de detectar que el spam normal debido a que pueden llegar de direcciones legitimas de contactos conocidos. El motivo de esto es que una vez el equipo de destino ha sido infectado, Emotet recoge todos los contactos disponibles en el correo electrónico y trata de propagarse utilizandolos, los mensajes enviados utilizan un lenguaje más natural del habitual en este tipo de correos maliciosos y el contenido del mensaje es tentador, como una factura, un pago pendiente o incluso un envío de una compañía de transporte conocida. Este malware ha pasado por diferentes versiones, las últimas son capaces de descargar actualizaciones u otros troyanos de robo de credenciales financieras.

Aunque el principal método de propagación de Emotet es el correo electrónico las versiones más modernas son capaces de atacar equipos de la red infectada utilizando ataques de fuerza bruta, por lo que si la contraseña de los equipos de la red es débil, el troyano se propagará por todos los equipos alcanzables. Hay que tener en cuenta que utiliza la vulnerabilidad Eternal Blue, que ya fue utilizada por los ramsonwares WannaCry y NotPetya, para extenderse de forma transparente para los usuarios, por lo que es muy importante tener las últimas actualizaciones de Microsoft para evitar una propagación masiva de este.

El diseño original de este malware apuntaba a objetivos bancarios, aunque actualmente todos los usuarios son un potencial objetivo debido a su capacidad de robar credenciales bancarias. Las últimas versiones también son capaces de instalar y enviar otros troyanos bancarios por lo que la lista de potenciales objetivos ha aumentado considerablemente además de haberse convertido en un malware aún más peligroso.

Si se sospecha que una máquina ha sido infectada por este malware lo más importante es aislarla de la red lo antes posible para evitar su propagación y la comunicación con el servidor de mando, posteriormente se deberá proceder al borrado y limpieza del malware, tanto de este equipo sospechoso como los del resto de la red, por norma general no sabremos cuando ha sido infectado ni si ya se ha propagado, por lo que si simplemente se limpia el equipo que se cree infectado y luego se vuelve a conectar a la red es muy posible que vuelva a infectarse si el malware ya se había propagado con anterioridad.

Para protegernos de este malware hay varios puntos importantes a tener en cuenta.

  • Es importante tener instaladas las últimas actualizaciones de Microsoft Windows para evitar que se propague por la red utilizando la vulnerabilidad Eternal Blue, así como tener las firmas de los antivirus al día. Para evitar que un malware polimórfico como Emotet infecte un equipo también pueden utilizarse antivirus basados en el método matemático, heurístico y el comportamiento en lugar de solo utilizar las firmas de las amenazas, este tipo de software suele conocerse como EDR o Endpoint Detection and Response.
  • Hay que educar a los usuarios de la red para que aprendan a diferenciar este tipo de correos y que nunca se descarguen ficheros o accedan a hipervínculos que reciban en su correo que no estén esperando. Debido a la capacidad de Emotet para suplantar identidades de usuarios conocidos puede ser una buena medida de seguridad ponerse en contacto con la persona de la que hemos recibido un correo que no esperábamos para asegurarnos que su identidad no ha sido comprometida.
  • Es importante tener políticas de contraseñas estrictas que obliguen a los usuarios a crear contraseñas seguras y que no puedan averiguarse con un ataque de fuerza bruta, también se recomienda la implementación de un sistema de doble factor de autenticación.
  • Muchos malwares se aprovechan de la característica de incorporar macros en de las herramientas de ofimática para propagarse, por lo que se recomienda deshabilitar el uso de macros en el equipo.

Artículos relacionados

“Warshipping: El peligro que se oculta en los paquetes que recibes”

3 meses ago socn2axians

Explorando el Framework MITRE ATT&CK

5 meses ago SOC Axians

Contraseña: admin

6 meses ago SOC Axians

INTELIGENCIA ARTIFICIAL EN LA CIBERSEGURIDAD

6 meses ago SOC Axians

RUSIA Y SU CIBER-RESPUESTA DESCENTRALIZADA

2 años ago SOC Axians

AUDITORÍAS DE SEGURIDAD: PON A PRUEBA TUS SISTEMAS

2 años ago SOC Axians

Centro de preferencias de privacidad

Gestión de consentimientos

Política de Privacidad

Obligatorio
Los datos de carácter personal (Tratamiento, nombre, apellido y correo electrónico) recopilados a partir de este formulario de contacto se transmitirán únicamente al servicio de comunicación de Axians España. Esta información sirve para tratar y poder responder a su solicitud. No se hará ningún tratamiento de sus datos con fines estadísticos, analíticos o comerciales. Por razones de seguridad, se registra la dirección IP del remitente para cada solicitud de contacto por medio de este formulario. Por favor, antes de enviar su mensaje revise nuestra Política de Privacidad"

Necessary

Advertising

Analytics

Other