En los últimos años, la maliciosa botnet Emotet ha encabezado consistentemente el ranking de las amenazas cibernéticas más peligrosas. Ahora el malware, que se ha estado propagando como troyano desde 2014, ha quedado inofensivo como parte de una acción concertada de Europol y la BKA. ¿Qué significa esto para la situación actual de amenaza? ¿Es ahora menor el riesgo de ciberataques? Sí y no, porque hay innumerables otros atacantes y ciberdelincuentes acechando por ahí.

Tan recientemente como el año pasado, el notorio malware encabezó el «Global Threat Index 2020» como el malware más peligroso actualmente. Casi el 20 por ciento de todas las empresas alemanas se vieron afectadas por esto en diciembre. Una campaña de spam infectada con Emotet mató a otros 100.000 usuarios el verano pasado. Por ejemplo, Emotet había provocado la pérdida total de TI en el Tribunal de Apelación de Berlín. El tribunal tuvo que ser desconectado de la red estatal de Berlín. El malware también causó daños considerables a la Clínica Fürth y a la administración de la ciudad de Frankfurt am Meno, así como a decenas de miles de particulares. Según los investigadores, solo en Alemania se causaron daños por valor de al menos 14,5 millones de euros.

Abridor de puertas para más malware

Lo perfido de Emotet es que el malware actúa como un abridor de puertas para más malware. Así que, no solo robó datos, sino que también abrió las puertas traseras para más malware. Anteriormente utilizado como troyano bancario, Emotet ha servido recientemente más como propagador de otros programas malware o campañas completas. Utilizó varios métodos para mantenerse operativo y conocía técnicas evasivas para evitar ser detectado.

«En esencia, la infraestructura ‘Emotet’ funcionó como un primer abridor de puertas hacia sistemas informáticos a nivel global», afirmó la agencia. «El sistema fue capaz de infectar redes enteras de una manera única, simplemente accediendo a unos pocos dispositivos.» El sistema se interrumpía mediante un documento de Word, a menudo disfrazado como un accesorio inofensivo a un correo electrónico o incluso como un enlace, describió Europol.

Una vez que el acceso ilegal tuvo éxito, se vendió a ciberdelincuentes. Estos, a su vez, podrían infiltrarse en sus propios troyanos para obtener datos bancarios, revender los datos capturados o extorsionar un rescate por los datos bloqueados.

BKA: Infraestructura de Emotet bajo control y destruida

El pasado miércoles, las actividades del troyano habían terminado: la Oficina Federal de Policía Criminal (BKA) y la Fiscalía de Frankfurt anunciaron que los investigadores alemanes y un grupo internacional de investigadores habían logrado dejar inofensivo el software criminal como parte de una acción concertada. La autoridad policial Europol anunció que la infraestructura global de varios cientos de ordenadores había sido primero controlada y luego destruida. La operación duró más de dos años. Se llevó a cabo bajo liderazgo alemán y holandés con investigadores de un total de ocho países. El desmantelamiento se llevó a cabo junto con las autoridades policiales de los Países Bajos, Ucrania, Lituania, Francia, Gran Bretaña, Canadá y Estados Unidos, según la BKA.

Los investigadores identificaron inicialmente varios servidores en Alemania con los que se distribuía el malware, y más tarde otros en otros países europeos. Solo en Alemania, los investigadores han incautado hasta ahora 17 servidores. En Ucrania, los fiscales inicialmente tomaron el control de la infraestructura de Emotet en uno de los presuntos operadores. Como resultado, según el comunicado de prensa, «fue posible hacer que el malware en los sistemas alemanes afectados para las víctimas fuera inutilizable para los agresores». Esto significa que, donde Emotet ya había penetrado un sistema, el malware se movió para que ya no pudiera causar daños. Además, solo podía comunicarse con servidores que se operaban para preservar pruebas.

«Malware-como-servicio»

Emotet fue uno de los «instrumentos más peligrosos para los ciberataques» en los últimos años, según una portavoz de Europol. El modelo de negocio criminal de Emotet, que es un «malware como servicio». Ha proporcionado la base para ataques cibernéticos dirigidos a otros delincuentes.

«Las autoridades policiales han logrado hacerse cargo de la infraestructura», dice Monika Bubela, especialista en ciberseguridad en Perseus, describiendo el acceso de las autoridades investigadoras, «esto significa que los ordenadores infectados ahora se envían a las autoridades policiales y no a los criminales. En pocas palabras, los delincuentes han perdido el acceso a la infraestructura infectada y se ha evitado la propagación adicional del malware. La policía neerlandesa también ha conseguido recuperar una base de datos de correos electrónicos robados, permitiendo a los usuarios comprobar si sus correos se vieron afectados.»

¿El riesgo de ciberataques ha disminuido significativamente como resultado?

«La importancia de este golpe contra los ciberdelincuentes es muy grande, ya que Emotet fue uno de los malware más activos y difíciles de eliminar y difundir fácilmente», dijo Bubela, «Así que Emotet está ‘pacificado’ y puesto en pausa por el momento, por lo que ya no representa una amenaza.»

Al menos por el momento: es bastante posible que Emotet haya descargado más malware en el sistema infectado a tiempo. Y podrían seguir activos. El caso «Trickbot» también ha demostrado que el cierre de la infraestructura no significa necesariamente el fin de las actividades delictivas: paralizado en octubre, el troyano bancario volvió a estar activo solo cuatro semanas después.

¿Significa esto que Emotet por fin ha terminado?

También El presidente de BSI, Schönbohm, aún no considera que Emotet sea un problema resuelto. «Si recibes información de tu proveedor sobre una infección de Emotet en tus sistemas, tómalo en serio», dijo, refiriéndose a la ayuda de su autoridad.

«¡Limpiad vuestros sistemas! Si Emotet ha infectado vuestros sistemas, tenemos que suponer que otro malware ha conseguido hacer lo mismo.»

La cuestión es si los operadores de Emotet —suponiendo que no estén encarcelados— están construyendo una nueva infraestructura. Esta reconstrucción al menos costaría mucho tiempo —y dinero. Así que este golpe concentrado contra el cibercrimen al menos ha proporcionado un respiro.