¿Qué es Emotet?
Emotet fue una de las principales amenazas de malware hasta enero de 2021, cuando un grupo de trabajo internacional eliminó el malware. En su apogeo, Emotet infectó 1,5 millones de computadoras en todo el mundo y causó daños estimados en 2.500 millones de dólares antes de que se desconectara.
El derribo de enero de 2021 solo creó una caída de diez meses en las operaciones hasta noviembre de 2021, cuando Emotet regresó. Aprovechó el alcance de la botnet Trickbot para que las infecciones Trickbot existentes descargaran una versión nueva y mejorada de Emotet.
Entre las mejoras a Emotet se encuentran una criptografía más fuerte, flujos de control mejorados y nuevos mecanismos de infección. Emotet ahora también ofrece balizas Cobalt Strike, que se utilizan comúnmente en objetivos específicos Ataques de ransomware.
¿Cómo se propaga?
Emotet se propaga principalmente a través de correos electrónicos no deseados. Un sistema infectado con Emotet enviará correos electrónicos no deseados que contengan enlaces maliciosos o documentos diseñados para infectar computadoras con malware. Una vez infectadas, estas máquinas pueden descargar otros tipos de malware , como Trickbot, QBot y malware , y trabajarán para continuar propagando el malware.
En el caso del ascenso de Emotet de entre los muertos, el malware invirtió sus operaciones normales, descargándose principalmente en máquinas infectadas por Trickbot y no al revés. Esto proporcionó al malware una gran huella inicial desde la cual comenzar a enviar correos electrónicos no deseados diseñados para propagar el malware.
SEGÚN UNA CHECK POINT RESEARCH, Emotet alcanzó rápidamente el 50% de su actividad previa al derribo después de su resurrección y ha seguido creciendo hasta 2022.
Industrias objetivo
Dado que Emotet es un malware que se propaga a sí mismo a través de spam y Phishing mediante correos electrónicos, no se usa comúnmente en ataques dirigidos. A menudo, Emotet crea un punto de apoyo en un sistema o red en particular, y el malware descargado posteriormente puede utilizar este acceso inicial para realizar ataques dirigidos (como infecciones de ransomware). El método de distribución de "rociar y rezar" de Emotet significa que puede apuntar a cualquier industria, pero el malware se utiliza ocasionalmente para apuntar a industrias particulares (como los sistemas gubernamentales).
La resurrección de Emotet a través de la botnet Trickbot también ha tenido un impacto en su distribución general en todas las industrias. Trickbot comúnmente se dirige a industrias de alto perfil con gobierno/militar, finanzas/banca, manufactura, atención médica, seguros/legales y transporte constituía más de la mitad de sus víctimas desde noviembre de 2020. Con Emotet descargado e instalado en máquinas infectadas por Trickbot, el malware Emotet comenzó con una distribución similar y desde entonces se ha diversificado desde allí.
Cómo protegerse contra Emotet
Emotet está diseñado para propagarse a través de correos electrónicos no deseados y de phishing. Estos correos electrónicos se envían desde máquinas y cuentas de correo electrónico comprometidas y utilizan enlaces maliciosos y archivos adjuntos infectados para engañar a las personas para que instalen el malware en sus sistemas.
Este enfoque en phishing para su distribución significa que las organizaciones pueden protegerse contra las infecciones por Emotet a través de los siguientes pasos:
- Implementar soluciones de seguridad de correo electrónico: El enfoque del correo electrónico de Emotet significa que las soluciones de seguridad de correo electrónico son un componente crítico de una estrategia de prevención de Emotet. Estas soluciones deben ser capaces de identificar y bloquear enlaces maliciosos y su uso desarmado y reconstrucción de contenido (Content Disarm and Reconstruction, CDR) para despojar la funcionalidad maliciosa de los documentos antes de permitir que el contenido saneado llegue a la bandeja de entrada del destinatario.
- Capacitar a los empleados: Los patrones de distribución de Emotet dependen en gran medida de engaños a los destinatarios para que haga clic en un enlace malicioso o abran un archivo adjunto en un correo electrónico no deseado. Capacitar a los empleados para que reconozcan y respondan adecuadamente los correos electrónicos de phishing es esencial para bloquear la propagación de Emotet. Las tácticas de “rociar y rezar” de Emotet significan que varios empleados pueden verse afectados por la misma campaña, lo que hace que los informes sean críticos para la detección y respuesta rápidas de incidentes.
- seguridad de terminales: Emotet es una variante de malware sofisticada con técnicas avanzadas de persistencia y evasión. Esto hace soluciones avanzadas de seguridad de terminales vital para detectar y erradicar las infecciones de Emotet que pasan desapercibidas e infectan un terminal corporativo.
- Monitoreo de red: Emotet se utiliza para entregar muestras de malware adicionales a un dispositivo infectado a través de comunicaciones de comando y control. La monitorización de la red puede ayudar a identificar estas descargas, permitiendo a una organización localizar un terminal infectado.
Detección y protección de Emotet con Check Point
Desde su reaparición, Emotet ha subido rápidamente para volver a ser una de las variantes de malware más peligrosas y prolíficas en funcionamiento. Su sofisticación y diseño mejorado significan que las infecciones de Emotet pueden permitir varios ataques e incurrir en costos y daños significativos para una organización.
Para obtener más información sobre la amenaza Emotet, consulte el artículo de Check Point. Reporte de Ciberseguridad 2023. Luego, aprenda más sobre la protección de su organización contra Emotet mediante registrarse para una demostración gratuita del terminal Check Point Harmony.
Comentarios