El malware Emotet, que se creía había sido derrotado a principios de año, vuelve a circular. Hemos resumido las preguntas y respuestas más importantes sobre el regreso de Emotet para ti y vamos al fondo de cómo puedes protegerte del malware.
¿Qué ha pasado?
El 15 de noviembre, el mundo de la ciberseguridad se vio sacudido por la noticia de que el notorio malware Emotet volvía a circular aproximadamente medio año después de su destrucción. En el pasado, Emotet se consideraba el malware más extendido, propagándose principalmente a través de campañas de spam y adjuntos infectados de correos electrónicos de phishing.
¿Qué es exactamente Emotet?
Tan recientemente como el año pasado, el notorio malware encabezó el «Global Threat Index 2020» como el malware más peligroso. El malware apareció por primera vez en junio de 2014 y se utilizó principalmente para atacar el sector bancario.
Lo pérfido de Emotet es que el malware suele actuar como un abridor de puertas para la instalación de más malware. El software no solo es capaz de acceder no autorizado a datos, sino que se utiliza principalmente como descarga para otras variantes de malware como TrickBot e IcedID. Originalmente utilizado como troyano bancario (espionaje de datos de acceso para la banca online), Emotet ha servido recientemente más como propagador de otros malwares. El programa utilizó diversos métodos y técnicas de evasión para mantenerse operativo e indetectable.
¿Por qué se consideraba que Emoteto estaba derrotado?
A principios de año, las fuerzas del orden alemanas, entre otras, anunciaron la destrucción de la red Emotet: la infraestructura del malware fue destruida y los servidores confiscados. Solo se realizaron actualizaciones inofensivas hasta que se desplegó un módulo Emotet el 25 de abril de 2021, que eliminó completamente el malware de los sistemas infectados.
¿Cuál es la situación actual?
Los cerebros del Emotet han comenzado ahora a reanudar sus operaciones. Los sistemas ya infectados con TrickBot empezaron a instalar nuevos archivos de Internet. Tanto análisis automáticos como manuales revelaron que los archivos eran nuevas variantes de Emotet. Las nuevas versiones tienen muchas similitudes con programas anteriores de Emotet, pero el cifrado y los certificados para la comunicación segura han sido ligeramente modificados.
¿Cuáles son los riesgos de Emotet para mi empresa?
Emotet es conocido por el llamado phishing con dinamita. Los correos de phishing engañosamente reales con contenido personalizado diseñado para engañar a los objetivos y que abran archivos adjuntos son características de las campañas de Emotet. Los correos electrónicos de phishing están tan bien camuflados que a veces imitan a colegas o socios comerciales como remitentes. Es especialmente complicado que los mensajes pasados de las personas objetivo se citen en los correos de phishing. Así, los correos de Emotet pueden ser percibidos por los destinatarios como una respuesta a correos enviados previamente.
La BSI ya advierte contra campañas de phishing de gran escala, ya que se observaron el año pasado. Las empresas y autoridades están en alto riesgo, especialmente debido a la instalación adicional de más malware por parte de Emotet.
¡Atención! El envío de los correos de spam de Emotet ya ha comenzado. Actualmente, el malware se distribuye a posibles víctimas en forma de *.docm y *.xlsm y adjuntos ZIP protegidos con contraseña.
¿Qué puedo hacer?
La lista de direcciones IP está disponible aquí: https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt. Ten en cuenta que se requiere la máxima precaución al manipular estas direcciones IP. Si no sabes qué hacer con estas direcciones, contacta con nuestro equipo. Estamos encantados de apoyarte.
