La botnet Emotet regresa coincidiendo con el inicio de la campaña navideña

Recomendados:  Customer Experience: Territorio Digital Leer Identificación de ataques web Leer Gestión de riesgos para la mejora de los planes de continuidad de negocio Leer

En las últimas horas, se ha conocido la noticia de que Emotet, uno de los malware más extendidos del mundo a través de campañas de spam y archivos adjuntos maliciosos para distribuirlo, podría haber vuelto.

Desde la tarde del 15 de noviembre han empezado a detectarse tanto conexiones activas con sus nuevos centros de mando y control como nuevas muestras relacionadas con este malware, tras quedar inactivo después de que una operación internacional de las fuerzas del orden desmantelara sus servidores de mando y control a principios de este año. La reaparición es sorprendente porque, tras hacerse con la infraestructura de servidores de Emotet, las autoridades también orquestaron una desinstalación masiva del malware de todos los ordenadores infectados el 25 de abril, eliminando de hecho toda la red de bots en Internet.

El malware Emotet era utilizado por varios grupos criminales para realizar otras campañas de spam e instalar otras payloads, como el malware QakBot (Qbot) y Trickbot. Estas payloads se utilizarían después para proporcionar el acceso inicial a los ciberdelincuentes para desplegar ransomware, como Ryuk, Conti, ProLock, Egregor y muchos otros. De momento no se han detectado campañas masivas de spam, utilizadas normalmente por esta amenaza para propagarse usando ficheros adjuntos en formato Word o Excel, aunque sí se han detectado algunos emails que están siendo enviados desde los propios equipos comprometidos.

“La falta de estas campañas masivas de spam puede ser algo temporal mientras Emotet reconstruye su infraestructura y coincide con el inicio de la campaña navideña, algo que los delincuentes responsables de esta amenaza ya han aprovechado en años anteriores para conseguir un elevado número de víctimas”, señala Josep Albors, director de investigación y concienciación de ESET España.

De momento, y tras analizar algunas de las muestras, los investigadores no ven cambios en el vector de ataque usado por esta nueva variante de Emotet. Los delincuentes siguen basándose en documentos ofimáticos en formato Excel o Word con código incrustado en sus macros. La forma de conseguir que los usuarios ejecuten estas macros maliciosas sigue siendo la misma, solicitando que se permita la edición del fichero para ver su contenido.

Todo apunta a que, en esta ocasión, los criminales están utilizando la infraestructura existente de TrickBot para reconstruir la botnet Emotet. Debido a la vinculación que Emotet tuvo en los últimos años con los grupos responsables de propagar ransomware, no son pocos los que temen que la reactivación de esta botnet suponga también un aumento de los casos de robo y cifrado de información.

"Emotet es responsable de la explosión de ransomware dirigido que hemos visto en los últimos tres años y su regreso podría conducir a un nuevo aumento de este tipo de ataques”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “No es de extrañar que Trickbot y su infraestructura estén siendo utilizados para desplegar el recién resurgido Emotet. Esto no sólo acortará el tiempo que tardará Emotet en afianzarse lo suficiente en las redes de todo el mundo, sino que también es una señal de que, como en los viejos tiempos, Trickbot y Emotet están unidos como socios para tener el máximo éxito en sus ataques”.