¿Que es el Malware Emotet y como nos podemos defender?
Compartimos la entrada del blog de LEPIDE (traducida al castellano), publicado el 20 de Noviembre de 2020 por Jason Coggins, acerca del malware Emotet.
Emotet es una forma de malware bancario que se descubrió por primera vez en 2014. Como muchas otras formas de malware, su principal objetivo es extraer información confidencial del equipo de la víctima. Sin embargo, a diferencia de otras formas de malware, Emotet puede evadir la mayoría de los productos antivirus.
Hewlett-Packard informó de un aumento del 1200% en la cantidad de ataques del troyano Emotet, lo que respalda un aumento en las campañas de ransomware. El Departamento de Seguridad Nacional se ha referido a Emotet como una de las amenazas continuas más frecuentes, ya que se dirige cada vez más a los gobiernos estatales y locales, así como a individuos y organizaciones.
Emotet es una variedad de malware troyano polimórfico puede se puede presentar en forma de script, enlace, documentos con macro habilitada y, en sus últimas versiones, es capaz de descargarse una o varias de sus funciones maliciosas de su servidor de comando y control (C&C); que le capacita para instalar versiones actualizadas del virus y volcar la información robada (números de tarjetas de crédito, direcciones de correo electrónico, contraseñas…).
Los correos electrónicos con el malware Emotet suelen utilizar marcas reconocidas para atraer a las personas, haciéndoles creer que se trata de un correo seguro. Estos correos electrónicos utilizan como asunto “Alerta de cuenta”, “Mensaje de facturación automática” y, en algunos casos, utiliza una técnica más sofisticada llamada “secuestro de conversaciones”, dónde el malware previamente secuestra asuntos de correo electrónico existentes para crear la confianza e infectar al destinatario.
Emotet tiene capacidades similares a gusanos que le permiten propagarse a otros equipos conectados y redes Wi-Fi cercanas, al robar contraseñas de administrador. Emotet es una forma de malware polimórfico, ya que puede cambiar constantemente sus características identificables para eludir la detección. Por ejemplo, si se ejecuta dentro de una máquina virtual (VM) o un entorno de espacio aislado, puede adaptarse en consecuencia, lo que podría incluir permanecer inactivo para evitar la detección.
Emotet a menudo instalará un troyano bancario adicional (y posiblemente más avanzado) llamado TrickBot, que se dirige específicamente a las máquinas Windows. TrickBot utiliza la herramienta Mimikatz para aprovechar la vulnerabilidad de Windows EternalBlue. Para aumentar el lío, TrickBot se usa a menudo como el punto de entrada inicial para el ransomware Ryuk, que está diseñado específicamente para entornos empresariales de destino.
El primer paso obvio que hay que tner en cuenta para protegerse del malware Emotet es informarse sobre qué es y cómo funciona. Por supuesto, proteger sus sistemas de este malware es una tarea monumental, y un desglose completo de cómo debe hacerse, está más allá del alcance de este artículo. En cambio, a continuación, se presentan los tres puntos más importantes que deben tenerse en cuenta para ayudar a minimizar la posibilidad de infección:
1. Asegúrese de que todos los dispositivos conectados estén actualizados y tengan instalados los últimos parches. Si bien hay variedades de Emotet que se dirigen a Mac OS, es más común que se orienten a Microsoft Windows, ya que está más ampliamente adoptado. Como se mencionó anteriormente, TrickBot intentará robar credenciales explotando la vulnerabilidad de Windows EternalBlue. Como tal, es de vital importancia parchear esta vulnerabilidad antes de que los ciberdelincuentes puedan aprovecharla.
2. Asegúrese de que sus empleados estén lo suficientemente capacitados para identificar enlaces de correo electrónico y archivos adjuntos sospechosos. Sin embargo, como se mencionó anteriormente, Emotet a menudo intentará secuestrar las conversaciones de correo electrónico existentes, lo que significa que, capacitar al personal para identificar correos electrónicos sospechosos puede no ser muy efectivo. Idealmente, los usuarios deben ser notificados cuando se envía un correo electrónico desde su cuenta.
Esto se puede hacer a través de SMS o redirigiendo el correo enviado a una dirección de correo electrónico alternativa, de la que pueden ser notificados. Si el «remitente» no reconoce el mensaje, puede advertir al destinatario en consecuencia.
Incluso podríamos dar un paso más y automatizar una respuesta. Sin embargo, dado que no hay una solución formal disponible para que notifique a los usuarios los correos electrónicos enviados (o al menos uno que yo conozca), su mejor opción es configurar una solución de auditoría de cambios en tiempo real para monitorizar los correos electrónicos enviados y enviar notificaciones a su teléfono o dirección de correo electrónico.
3. Como siempre, debe asegurarse de tener una política de contraseñas segura. Sin embargo, aunque esto debería ser evidente, muchos empleados todavía usan contraseñas fáciles de adivinar y usan la misma contraseña en múltiples plataformas. Y, por supuesto, es una buena idea utilizar autenticación multifactor siempre que sea posible.
Otro aspecto muy importante de la seguridad es poder garantizar que se puede detectar la propagación de ransomware en su entorno y tomar medidas inmediatas para evitar que se siga propagando. Hacer esto sin la ayuda de una solución es casi imposible debido a la sofisticación y eficacia del malware moderno.
Lepide Data Security Plattform hace el trabajo duro por usted, auditando, monitorizando y alertando cada vez que se muestran síntomas de malware en su entorno. Con la respuesta automatizada a amenazas, puede ejecutar reacciones al ransomware que eliminan la amenaza con efecto inmediato, como ejecutar un script para deshabilitar al usuario del Directorio Activo que está realizando el ataque.
Para ver cómo Lepide Data Security Platform puede ayudarlo a detectar y prevenir la propagación de ransomware, programe una demostración con uno de nuestros Técnicos hoy mismo.
Contacte con nostros en el correo electrónico o en el 916398550