Claves para estar protegidos frente a Emotet

Los últimos meses han sido prolíficos en ataques por parte de Emotet, un troyano muy activo que suele propagarse por medio de correros electrónicos con asuntos muy sugerentes y que contienen un adjunto o un enlace malicioso. En uno de sus últimos posts, los expertos de Panda Security dicen de él que “es muy ‘inteligente’ diseñado para robar datos personales y credenciales que dan a los hackers acceso a los datos financieros de una compañía”. Además, ha evolucionado y se han detectado casos en los que el troyano ha cifrado toda una red a modo de ransomware.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Consciente del riesgo que supone, el CERT del CCN ha publicado un nuevo Informe de Amenazas en la parte pública de su portal, que incluye recomendaciones para mejorar la seguridad de equipos y dispositivos para prevenir la actuación del virus.

Como recoge el informe, atendiendo al comportamiento de este tipo de código dañino, debe tomarse especial atención a una serie de medidas en todos los niveles en los que pueda producirse su actuación:

- Correo electrónico: se deben bloquear aquellos que contengan enlaces dañinos conocidos, como los que pueden obtenerse de repositorios como, por ejemplo, el de URLhaus.

- Microsoft Word: para prevenir la ejecución del código Visual Basic For Aplication (VBA), se recomienda deshabilitar por defecto la ejecución de macros en documentos ofimáticos y no permitir su ejecución mediante la opción “Habilitar contenido”.

- Sistema operativo: se deberían aplicar políticas de seguridad que endurezcan las condiciones de ejecución de código procedente de fuentes desconocidas o que adviertan al usuario de la peligrosidad de sus acciones. Asimismo, también es muy recomendable aplicar mecanismos integrales de protección de tipo Endpoint (EDR) con análisis y protección frente a comportamientos dañinos.

- Arquitectura de red: como norma general, la arquitectura de red de la organización debería estar correctamente segmentada y disponer de los mecanismos necesarios para poder filtrar el acceso a sitios y direcciones de Internet. Además, todos los sistemas deberían de estar integrados en un sistema de log (SIEM) para poder establecer una correlación de la actividad realizada por los equipos de la organización.

El documento también incluye cómo detectar si un sistema ha sido comprometido por esta amenaza, tanto si este se ha ejecutado con privilegios de administrador o usuario estándar, además de los principales métodos de desinfección.