Cómo prevenir un ataque de Emotet

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Emotet es un malware que lleva atacando a empresas de todo el mundo desde 2014 que el año pasado, tras un breve periodo de inactividad, se ha convertido en una de las principales ciberamenazas a las que se enfrentan las empresas y organismos oficiales.

Una de las características que hacen a este troyano altamente peligroso es su capacidad de infectar redes en cuestión de minutos moviéndose como un gusano en ellas y, además, actúa como un ‘bot’ que se hace con las contraseñas de todas las personas que forman parte de una organización para realizarles spam. También se han detectado casos en los que el troyano ha cifrado toda una red a modo de ransomware. Además, es muy versátil y es capaz de cambiar su código cada cierto tiempo.

Por tanto, no es nada extraño que el blog Protege tu Empresa, de Incibe, dedique uno de sus post a cómo prevenir su ataque y qué hacer en caso de infección.

Medidas preventivas
Este malware se transmite principalmente por correo electrónico, por lo que resulta lógico ser precavidos a la hora de ejecutar cualquier archivo adjunto o enlace incluido en los emails. El post recomienda precaución, incluso, con los correos de contactos conocidos, ya que Emotet puede suplantar su identidad y, ante la duda, se debería “analizarlo con el antivirus del ordenador o con herramientas online como VirusTotal o URLhaus”.

Por otro lado, las macros, programas contenidos dentro de documentos Microsoft Office, son uno  de los métodos más utilizados en campañas de adjuntos y enlaces maliciosos. Nunca se debe habilitar una macro en un documento Office a no ser que se esté totalmente seguro de su legitimidad. Además, se debe evitar su ejecución de manera automática.

Sobra decir porque es un deber siempre utilizar contraseñas robustas que los sistemas tienen que estar siempre actualizados a la última versión porque Emotet también utiliza vulnerabilidades. A todo esto se suma la monitorización de las posibles fuentes de infección utilizando diferentes IOC o identificadores de compromiso, como dominios web, direcciones IP y hashes. Para ello, se configurará el firewall de la empresa o la herramienta de seguridad con la que se cuente para bloquear estos sitios fraudulentos.

Detección y eliminación
En este apartado, se menciona la herramienta EmoCheck, que ha publicado el CERT de Japón, una entidad análoga a INCIBE-CERT, en su repositorio de GitHub. Comprueba si el malware está en un dispositivo, está diseñada para sistemas 32/64bits, y para su ejecución únicamente hay que descargar la versión correspondiente y ejecutarla,

Aún empleando esta herramienta, no estaría de más analizar el equipo con herramientas especializadas antimalware.

Cualquier dispositivo que pueda verse comprometido por el malware Emotet se desconectará de la red de la empresa lo más rápido posible para evitar que más dispositivos se puedan ver afectados por la amenaza para después, como explica el post, proceder a la desinfección, siguiendo una serie de consejos previos. 

El post también recuerda que si en un ataque de Emotet se ha visto comprometida información personal, se debe notificar a la Agencia Española de Protección de Datos en un plazo inferior a 72 horas, pero también es aconsejable contactar con el servicio de respuesta a incidentes de Incibe y denunciar el incidente ante las Fuerzas y Cuerpos de Seguridad del Estado. Para ello, se recomienda recabar todas las pruebas posibles para adjuntarlas en la denuncia.

Por último, es recomendable contactar con el servicio de respuesta a incidentes que ofrece INCIBE y que te ayudará a minimizar los efectos negativos de la infección sobre tu empresa.

En el post completo hay información más detallada sobre todos estos pasos.