EMOTET RANSOMWARE. - Sergio Lara -
Sergio Lara - Analista de inteligencia.
El troyano bancario Emotet fue reconocido en primera instancia por investigadores de seguridad en 2014. Fue diseñado en su origen como un malware bancario que intentaba introducirse en los equipos y sustraer información confidencial y privada. En versiones posteriores del software se incorporaron servicios de envío de spam y malware, incluidos otros troyanos bancarios.
Adapta y automatiza las formas de ataques de amenazas persistentes avanzadas de un rango altamente profesional. Posee características similares a las de un gusano para apoyar su propagación a otros ordenadores conectados ayudando a la distribución del malware. Este tipo de malware ataca principalmente a través de correos electrónicos no deseados afectando a particulares, empresas, organizaciones y autoridades. Ha sufrido una evolución, de ser un troyano bancario a un dropper, lo que significa que introduce programas maliciosos en los dispositivos, de manera general descarga los siguientes programas:
La manera de propagación estrella de Emotet es a través de la nombrada recopilación de Outlook o Outlook Harvesting, enviando correos electrónicos de phising a los contactos almacenados, como amigos, familiares y compañeros de trabajo. La propagación es increíblemente rápida y diferentes destinatarios recibirán correos electrónicos verdaderos con las que mantuvieron recientemente el contacto. Intenta conectarse a todas las redes o accesos disponibles a través de un ataque de fuerza bruta utilizando listados de contraseñas comunes. La probabilidad de que entre en un servidor con esta técnica es muy alta.
Otro método que usa para propagarse es por medio de las vulnerabilidades EternalBlue/BoublePulsar, siendo estás responsables de los ataques WannaCry y NotPetya. Dichos ataques explotan las vulnerabilidades de Windows que pueden permitir la instalación de malware sin interacción humana.
Emotet emplea funciones que ayudan a evitar la detección por parte de algunos software anti-malware, utilizando una serie de artimañas para intentar evitar la detección y el análisis. Una de las razones es que es polifórmico, lo que significa que cambia ligeramente cada vez que se accede a él y evitar la detección basada en firmas. Además, Emotet conoce si se está ejecutando dentro de una máquina virtual (virtual machine, VM) y permanecerá inactivo si localiza un entorno de sandbox. Resumiendo, un equipo limpio se puede volver a infectar rápidamente si se conecta a una red infectada. Por lo tanto, hay que limpiar todos los dispositivos conectados a la red, uno a uno.
Recomendado por LinkedIn
PROTECCIÓN:
¿CÓMO ELIMINARLO?.
Desgraciadamente no existe una solución que de un 100 % de protección contra una infección por Emotet.
Comunica a tu entorno personal acerca de la infección, ya que tus contactos de correo electrónico podrían estar en peligro.
Si el equipo está conectado a una red, hay que aislarlo de inmediato. Una vez aislado, se parchea y limpia el sistema infectado.
Debido a la manera en la que Emotet se propaga por la red, un dispositivo limpio se puede volver a infectar cuando se conecta de nuevo a la red infectada, esto se soluciona limpiando cada equipo de la red uno a uno de forma aislada.
Posteriormente hay que cambiar todos los datos de inicio de sesión de todas las cuentas (de correo electrónico, navegadores web, etc.) Es conveniente hacerlo en un dispositivo independiente que no esté infectado ni conectado a la misma red.