Emoticono

Operación de ciberdelito y cepa de malware

Emotet es una cepa de malware y una operación de ciberdelito que se cree que tiene su base en Ucrania . ^[1] El malware, también conocido como Heodo , se detectó por primera vez en 2014 y se consideró una de las amenazas más frecuentes de la década. ^{[2] [3] [4]} En 2021, los servidores utilizados para Emotet fueron interrumpidos por una acción policial global en Alemania y Ucrania y quedaron bajo el control de las fuerzas del orden. ^[4]

Las primeras versiones del malware Emotet funcionaban como un troyano bancario cuyo objetivo era robar credenciales bancarias de los hosts infectados. A lo largo de 2016 y 2017, los operadores de Emotet, a veces conocidos como Mealybug , actualizaron el troyano y lo reconfiguraron para que funcionara principalmente como un "cargador", un tipo de malware que obtiene acceso a un sistema y luego permite a sus operadores descargar cargas útiles adicionales. ^[5] Las cargas útiles de segunda etapa pueden ser cualquier tipo de código ejecutable, desde los propios módulos de Emotet hasta malware desarrollado por otras bandas de ciberdelincuentes.

La infección inicial de los sistemas de destino suele producirse a través de un virus de macro incluido en un archivo adjunto de un correo electrónico . El correo electrónico infectado es una respuesta aparentemente legítima a un mensaje anterior enviado por la víctima. ^[6]

Se ha documentado ampliamente que los autores de Emotet han utilizado el malware para crear una botnet de computadoras infectadas a las que venden el acceso en un modelo de Infraestructura como Servicio (IaaS), conocido en la comunidad de ciberseguridad como MaaS (Malware como Servicio), Cibercrimen como Servicio (CaaS) o Crimeware . ^[7] Emotet es conocido por alquilar el acceso a computadoras infectadas a operaciones de ransomware , como la banda Ryuk . ^[8]

En septiembre de 2019, la operación Emotet se ejecutaba sobre tres botnets independientes llamadas Epoch 1, Epoch 2 y Epoch 3. ^[9]

En julio de 2020, se detectaron campañas de Emotet a nivel mundial, que infectaban a sus víctimas con TrickBot y Qbot , que se utilizan para robar credenciales bancarias y propagarse dentro de las redes. Algunas de las campañas de malspam contenían documentos maliciosos con nombres como "form.doc" o "invoice.doc". Según los investigadores de seguridad, el documento malicioso lanza un script de PowerShell para extraer la carga útil de Emotet de sitios web maliciosos y máquinas infectadas. ^[10]

En noviembre de 2020, Emotet utilizó dominios estacionados para distribuir cargas útiles. ^[11]

En enero de 2021, una acción internacional coordinada por Europol y Eurojust permitió a los investigadores tomar el control y desmantelar la infraestructura de Emotet. ^[12] La acción denunciada estuvo acompañada de detenciones realizadas en Ucrania. ^[13]

El 14 de noviembre de 2021, aparecieron nuevas muestras de Emotet que eran muy similares al código del bot anterior, pero con un esquema de cifrado diferente que utilizaba criptografía de curva elíptica para las comunicaciones de comando y control. ^[14] Las nuevas infecciones de Emotet se distribuyeron a través de TrickBot, a computadoras que previamente estaban infectadas con TrickBot, y pronto comenzaron a enviar mensajes de correo electrónico spam maliciosos con archivos de Microsoft Word y Excel cargados de macros como cargas útiles. ^[15]

El 3 de noviembre de 2022, aparecieron nuevas muestras de Emotet adjuntas como parte de archivos XLS en mensajes de correo electrónico. ^{[16] [ fuente autopublicada ]}

Infecciones destacables

• Allentown, Pennsylvania , ciudad ubicada en Pensilvania, Estados Unidos (2018) ^{[17] [18]}
• Heise Online , editorial con sede en Hannover, Alemania (2019) ^[6]
• Kammergericht Berlin, el tribunal más alto del estado de Berlín, Alemania (2019) ^{[19] [20]}
• Universidad Humboldt de Berlín , universidad en Berlín, Alemania (2019) ^[21]
• Universität Gießen , universidad en Alemania (2019) ^[22]
• Departamento de Justicia de la provincia de Quebec (2020) ^[23]
• Gobierno de Lituania (2020) ^[24]

Referencias

1. Ikeda, Scott (28 de agosto de 2020). "El malware Emotet fue eliminado por las fuerzas de seguridad internacionales". Cpomagazine . Consultado el 1 de mayo de 2021 .
2. "Entrada de Emotet en la Malpedia". Malpedia . 3 de enero de 2020.
3. Ilascu, Ionut (24 de diciembre de 2019). "Emotet reina entre las principales amenazas de malware de Sandbox en 2019". Bleeping Computer .
4. Agencia de la Unión Europea para la Cooperación en Materia de Justicia Penal (27 de enero de 2021). "El malware más peligroso del mundo EMOTET desmantelado gracias a una acción global". Eurojust .
5. Christiaan Beek (6 de diciembre de 2017). "El troyano Emotet Downloader vuelve con fuerza". McAfee .
6. Schmidt, Jürgen (6 de junio de 2019). "Trojaner-Befall: Emotet bei Heise" (en alemán). Heise en línea . Consultado el 10 de noviembre de 2019 .
7. Brandt, Andrew (2 de diciembre de 2019). «La posición central de Emotet en el ecosistema de malware». Sophos . Consultado el 19 de septiembre de 2019 .
8. "APT(?) de Corea del Norte y recientes ataques de ransomware Ryuk". Kryptos Logic . 10 de enero de 2019.
9. Cimpanu, Catalin (16 de septiembre de 2019). «Emotet, la botnet más peligrosa de la actualidad, vuelve a la vida». ZDnet . Consultado el 19 de septiembre de 2019 .
10. "El malware más buscado en julio de 2020: Emotet vuelve a atacar tras cinco meses de ausencia" (nota de prensa). 7 de agosto de 2020.
11. "Emotet usa dominios estacionados para distribuir cargas útiles". Guía de cómo solucionar el problema . 30 de octubre de 2020 . Consultado el 27 de enero de 2021 .
12. "El malware más peligroso del mundo EMOTET desmantelado gracias a una acción global". Europol . Consultado el 27 de enero de 2021 .
13. Cimpanu, Catalin, Las autoridades planean desinstalar masivamente Emotet de los hosts infectados el 25 de marzo de 2021 , zdnet , 27 de enero de 2021
14. "La botnet Emotet regresa tras una operación de desinstalación masiva por parte de las fuerzas del orden". The Records . 15 de noviembre de 2021 . Consultado el 20 de noviembre de 2021 .
15. "Emotet Returns". SANS Internet Storm Center . Consultado el 20 de noviembre de 2021 .
16. "Cryptolaemus (@Cryptolaemus1)". Twitter . Consultado el 7 de noviembre de 2022 .
17. "Una infección de malware podría costarle un millón de dólares a Allentown, Pensilvania". washingtontimes.com . The Washington Times . Consultado el 12 de noviembre de 2019 .
18. "La banda de malware Emotet está recolectando en masa millones de correos electrónicos en una misteriosa campaña". ZDNet . Consultado el 12 de noviembre de 2019 .
19. "Emotet: Trojaner-Angriff auf Berliner Kammergericht". Der Spiegel (en alemán). 4 de octubre de 2019 . Consultado el 12 de noviembre de 2019 .
20. "Emotet: Wie ein Trojaner das höchste Gericht Berlins lahmlegte". faz.net (en alemán). Frankfurter Allgemeine Zeitung . Consultado el 12 de noviembre de 2019 .
21. "Trojaner greift Netzwerk von Humboldt-Universität an". dpa (en alemán). Heise en línea. 9 de noviembre de 2019 . Consultado el 10 de noviembre de 2019 .
22. "Trojaner-Befall: Uni Gießen nutzt Desinfec't für Aufräumarbeiten" (en alemán). Heise en línea. 19 de diciembre de 2019 . Consultado el 22 de diciembre de 2019 .
23. Joncas, Hugo (12 de septiembre de 2020). "Les pirates informatiques ont pu voler tous les courriels". Le Journal de Montreal . Consultado el 27 de enero de 2021 .
24. "Varias instituciones afectadas por un virus de correo electrónico en Lituania - centro". baltictimes.com . Consultado el 27 de enero de 2021 .