La actividad de Emotet se triplica en solo un mes

La botnet Emotet, según Europol, "el malware más peligroso del mundo", mostró un crecimiento mundial de más del 200% en marzo de 2022, según la telemetría de Kaspersky. Este crecimiento indica que los actores de amenazas detrás de la botnet han estado tomando medidas para aumentar significativamente su actividad maliciosa por primera vez desde su regreso en noviembre de 2021.

Emotet es a la vez una botnet, una red controlada de dispositivos infectados utilizados para ataques a otros dispositivos y malware que es capaz de extraer diferentes tipos de datos de lo dispositivos infectados. Operado por actores de amenazas experimentados, se ha convertido en uno de los mayores actores en el mundo del cibercrimen.

La botnet fue cerrada después de un esfuerzo conjunto de varias agencias policiales de diferentes países en enero de 2021. Sin embargo, en noviembre, la botnet regresó y ha ido aumentando gradualmente su actividad desde entonces. En primer lugar, mediante la propagación a través de Trickbot, una red de bots diferente, y ahora por sí misma a través de campañas de spam malicioso. La telemetría de Kaspersky muestra que el número de víctimas se disparó de 2.843 en febrero de 2022 a 9.086 en marzo, atacando más de tres veces el número de usuarios. El número de ataques detectados ha crecido en consecuencia, de 16.897 en febrero de 2022 a 48.597 en marzo.

Una infección típica de Emotet comienza con correos electrónicos no deseados que contienen datos adjuntos de Microsoft Office con una macro malintencionada. Con esta macro, el actor puede iniciar un comando de PowerShell malintencionado para soltar e iniciar un cargador de módulos, que luego puede comunicarse con un servidor de comando y control para descargar e iniciar módulos. Estos módulos pueden realizar una variedad de tareas diferentes en el dispositivo infectado. Los investigadores de Kaspersky pudieron recuperar y analizar 10 de los 16 módulos, y la mayoría de los cuales Emotet los utilizó en el pasado de una forma u otra.

La versión actual de Emotet puede crear campañas automatizadas de spam que se propagan aún más por la red desde los dispositivos infectados, extrayendo correos electrónicos y direcciones de correo electrónico de las aplicaciones Thunderbird y Outlook, y recopilando contraseñas de navegadores web populares, como Internet Explorer, Mozilla Firefox, Google Chrome, Safari y Opera, para recopilar los detalles de las cuentas de varios clientes de correo electrónico.

"Emotet era una red altamente avanzada que perseguía a muchas organizaciones de todo el mundo. Su eliminación fue un paso significativo hacia la disminución de las amenazas en todo el mundo al ayudar eliminarla de la lista de amenazas principales durante un año. Si bien el número de ataques no es comparable a la escala anterior de las operaciones de Emotet, el cambio en la dinámica apunta a una activación significativa de los operadores de la botnet y una alta probabilidad de que esta amenaza se extienda aún más en los próximos meses", comenta Alexey Shulmin, investigador de seguridad de Kaspersky.