Desmantelan la infraestructura que controlaba la botnet Emotet

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar

Descubierto por primera vez como troyano bancario en 2014, el malware Emotet ha ido evolucionando y adaptando sus técnicas de ataque convirtiéndose en una de las ciberamenazas más persistentes que existen. Pues bien, las autoridades policiales y judiciales de todo el mundo han tomado el control de su infraestructura en una acción coordinada por Europol y Eurojust, en el marco de la Plataforma Multidisciplinar Europea contra las Amenazas Criminales (EMPACT), interrumpiendo así el funcionamiento de la botnet.

La infraestructura utilizada por Emotet abarcaba varios cientos de servidores ubicados en todo el mundo, con diferentes funcionalidades con el fin de administrar los ordenadores de las víctimas infectadas, para propagarse a otras nuevas, para servir a otros grupos criminales, y para, en última instancia, hacer la red más resistente contra los intentos de derribo.

Para derribar la infraestructura de Emotet, las fuerzas del orden se unieron para crear una estrategia operativa eficaz, en la que las autoridades policiales y judiciales lograron hacerse con el control de la infraestructura y la derribaron desde el interior. Las máquinas infectadas de las víctimas han sido redirigidas hacia esta infraestructura controlada por las fuerzas del orden. Se trata de un enfoque único y nuevo para interrumpir eficazmente las actividades de los cibercriminales.

El grupo detrás de Emotet logró llevar el correo electrónico como vector de ataque al siguiente nivel. A través de un proceso totalmente automatizado, el malware era entregado a los ordenadores de las víctimas a través de archivos adjuntos, empleando una gran variedad de señuelos para engañar a los usuarios y que abrieran estos archivos adjuntos maliciosos. En las campañas más recientes se han empleado facturas, avisos de envíos e información sobre el COVID-19.

Todos estos correos electrónicos contenían documentos maliciosos de Word, ya sea adjuntos al correo electrónico en sí o descargables haciendo clic en un enlace dentro del propio correo electrónico. Una vez que un usuario abrió uno de estos documentos, se le podría pedir que "habilitara macros" para que el código malicioso oculto en el archivo de Word pudiera ejecutar e instalar el malware en el ordenador de la víctima.

Lo que hizo Emotet tan peligroso es que el malware se ofreció como servicio a otros delincuentes para instalar otros tipos de malware. La infraestructura de Emotet actuaba esencialmente como la puerta de entrada a sistemas informáticos a escala global. Una vez establecido este acceso no autorizado, este era vendido a otros grupos criminales de alto nivel para desplegar más actividades ilícitas tales como robo de datos y extorsión a través de ransomware. Otros operadores de malware como TrickBot y Ryuk se han beneficiado de la botnet.

Como parte de la investigación criminal llevada a cabo por la Policía Nacional Holandesa dentro de la botnet, se descubrió una base de datos que contenía direcciones de correo electrónico, nombres de usuario y contraseñas robadas por Emotet. Como parte de la estrategia global de remediación, con el fin de iniciar la notificación de los afectados y la limpieza de los sistemas, la información se distribuyó en todo el mundo a través de la red de los Equipos de Respuesta a Emergencias Informáticas (CERT).