El CCN-CERT alerta del repunte de la campaña de Emotet

  • Actualidad

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, ha alertado a su comunidad de que se está detectando un repunte importante de la campaña de ataques del código dañino Emotet en sus distintas variantes. Acompaña a su advertencia con una serie de recomendaciones sobre qué hacer para estar protegidos.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Emotet se está convirtiendo en protagonista de los informes de muchas firmas de seguridad, que constatan su rápida propagación en los últimos meses y confirman que es una de las principales ciberamenazas actualmente. Sin ir más lejos, el último Índice Global de Amenazas de Check Point Research sitúa por tercer mes consecutivo a Emotet como la principal amenaza, con un 12,60% de empresas españolas atacadas.

Ahora es el Centro Criptológico Nacional el que alerta del repunte de Emotet en todas sus variantes. En el aviso a su comunidad, señala que “la campaña, que comenzó en septiembre de 2019 y tuvo una gran virulencia en todo el mundo, utiliza diferentes métodos para conseguir infectar equipos que utilizan sistemas operativos de Microsoft Windows. Emotet posee módulos propios para realizar diversas acciones y despliega, además, diferentes códigos dañinos como, por ejemplo Trickbot”.

Para evitar ser víctimas, el Equipo de Respuesta a Incidentes recomienda tomar una serie de medidas recogidas en un informe sobre el tema, en el que se aborda qué hacer en cuatro áreas: correo electrónico, los documentos de Word, el sistema operativo y la arquitectura de red.

- Correo electrónico: se deben bloquear aquellos que contengan enlaces dañinos conocidos, como los que pueden obtenerse de repositorios como, por ejemplo, el de URLhaus.

- Microsoft Word: para prevenir la ejecución del código Visual Basic For Aplication (VBA), se recomienda deshabilitar por defecto la ejecución de macros en documentos ofimáticos y no permitir su ejecución mediante la opción “Habilitar contenido”.

- Sistema operativo: se deberían aplicar políticas de seguridad que endurezcan las condiciones de ejecución de código procedente de fuentes desconocidas o que adviertan al usuario de la peligrosidad de sus acciones. Asimismo, también es muy recomendable aplicar mecanismos integrales de protección de tipo Endpoint (EDR) con análisis y protección frente a comportamientos dañinos.

- Arquitectura de red: como norma general, la arquitectura de red de la organización debería estar correctamente segmentada y disponer de los mecanismos necesarios para poder filtrar el acceso a sitios y direcciones de Internet. Además, todos los sistemas deberían de estar integrados en un sistema de log (SIEM) para poder establecer una correlación de la actividad realizada por los equipos de la organización.

Además, para prevenir la infección para esta campaña concreta, aconseja instalar la vacuna EMOTET-stopper, disponible en su web, mantener los sistemas operativos, el software de ofimática y el resto de software instalado en los equipos actualizados con los últimos parches de seguridad, sí como los sistemas antivirus, con las últimas firmas disponibles.

También recomienda evitar el uso de software que no disponga de soporte oficial, y deshabilitar el uso de macros en ficheros ofimáticos, la ejecución de PowerShell, siempre que no sea necesario, evitar o restringir los permisos administrativos cuando sea posible, aislar los equipos infectados con código dañino, aplicar políticas de backup, considerando respaldos fuera de línea y copias diarias, entre otra serie de medidas.