Emotet vuelve a cobrar protagonismo en el inicio de año

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Los investigadores de Proofpoint ya advirtieron a mediados de enero de que, tras el parón navideño, TA542, el grupo de autores de amenazas que está detrás de Emotet, había regresado a la actividad el lunes, día 13, con el lanzamiento una campaña que incluye, entre otros idiomas, mensajes en español y objetivos en España. 

Ahora es Eset, el especialista en ciberseguridad que alerta de que el malware ha regresado causando importantes incidentes de seguridad entre organizaciones y particulares de todo el mundo a partir de las campañas de spam masivo que lanza el grupo de ciberdelincuentes que se encuentra detrás de estos ataques.

Según esta compañía, el repunte se ha producido en países como Estados Unidos, España, Alemania o Japón, después de unas aparentes vacaciones de Navidad, período en el que la incidencia del malware fue prácticamente nula. Al igual que Proofpoint, sus expertos el 13 de enero volvieron a detecar un elevado número de correos electrónicos con asuntos variados (informes, facturas, mensajes de voz, datos bancarios, entre otros) y adjuntos en formato Word en 80 países diferentes, entre los que se encontraba España. De hecho, el pasado 14 de enero, el 19,85% del total de las detecciones de malware en España correspondían a Emotet, de acuerdo con los datos de Virus Radar.

La peligrosidad de Emotet preocupa como lo demuestra que varios organismos hayan lanzado alertas a sus comunidades: la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos y también el Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, que ha acompañado su advertencia con una serie de recomendaciones sobre qué hacer para estar protegidos, centrándose en cuatro áreas: correo electrónico, los documentos de Word, el sistema operativo y la arquitectura de red.

Emotet, que se encuentra activo desde 2014, suele descargarse desde una dirección web legítima que ha sido comprometida por los delincuentes al abrir documentos maliciosos adjuntos a los emails. A partir de ese momento, se inicia una segunda fase de ataque que consiste, en general, en la descarga de otro malware, siendo este en muchas ocasiones Trickbot (troyano encargado de robar información) o incluso Ryuk (ransomware). Entre los miles de emails recibidos se ha detectado una campaña especialmente dirigida a 600 direcciones de correo correspondientes a miembros de la ONU y que suplantan la identidad de los representantes de Noruega ante la sede de las Naciones Unidas en Nueva York.

Además, conscientes de que estas plantillas de correo pueden tener una fecha de caducidad conforme los usuarios se vayan acostumbrando a recibirlas y procedan a ignorar estos correos, los delincuentes siguen probando nuevas formas de convencer a los usuarios para que ejecuten sus amenazas. Una de estas tácticas recientes consiste en imitar otra amenaza muy reconocida desde hace meses, como es la extorsión y, en el caso concreto de España, en el uso del catalán en los mensajes enviados.

Según Eset, los usuarios de sus soluciones están protegidos en todas las fases de ejecución de este malware. Desde la reactivación de la campaña de propagación de Emotet tras las vacaciones del verano pasado, la tasa de detección de esta amenaza por parte de sus soluciones no ha dejado de crecer y, de hecho, los creadores de esta amenaza dejan mensajes dentro del código del malware, frustrados por lo difícil que resulta saltarse la protección.