Cómo los ciberdelincuentes utilizaron el spam con el asunto COVID-19 para propagar el peligroso malware Emotet

Los ciberdelincuentes explotan el miedo y la incertidumbre que rodean a COVID-19 para perpetrar ataques contra las empresas, concretamente están utilizando el malware Emotet, para atacar a víctimas desprevenidas con campañas temáticas de COVID-19.

El Emotet, también conocido como Geodo y Mealybug, es una de las formas más penetrantes de malware. Uno de los más costosos y destructivos.

Las infecciones de Emotet actuales suelen originarse como un correo electrónico de phishing que contiene un archivo adjunto o una URL de aspecto legítimo.  Cuando la víctima abre el archivo adjunto o hace clic en el enlace, sin darse cuenta termina descargando el virus.

Tan pronto como los operadores de Emotet se afianzan en una red, suelen vender el acceso de los equipos infectados a otros ciberdelincuentes. Estos últimos implantan otros programas maliciosos como TrickBot, que pueden ser utilizados para robar datos confidenciales y difundir programas de rescate de Ryuk, como parte de un ataque de la llamada triple amenaza.

En los últimos meses, a medida que el virus se ha ido extendiendo por todo el mundo, los ciberdelincuentes han llevado a cabo una serie de campañas de EMOTET utilizando la temática de COVID-19.  Los operadores suelen utilizar correos electrónicos de phishing disfrazados para que parezca que provienen de fuentes oficiales como los Centros de Salud.

El ciberdelinuente anima al usuario a hacer clic en un enlace para conocer los nuevos casos de COVID-19 en su zona.  La URL parece auténtica, pero cuando la víctima hace clic en ella, el malware se descarga en su ordenador.

Nuestra plataforma proporciona una visibilidad global de los eventos y tendencias de seguridad críticos en Internet, incluyendo la actividad de Emotet.  Apoyada por, aproximadamente, 288.000 servidores en 136 países, interactúa con 130 terabytes de datos, 1,3 mil millones de dispositivos y más de 100 millones de direcciones IP cada día, reuniendo una inteligencia y una visión de las amenazas incomparable. 

Durante los meses de enero y febrero, observamos volúmenes extremadamente altos de tráfico relacionado con los Emotets, la mayoría relacionado con ciberataques a empresas. También se ha observado estos días una correlación directa entre el tráfico de Emotet y el tráfico de TrickBot, lo que confirma que los ciberdelincuentes están usando el Emotet para sembrar infecciones de TrickBot.  Esto nos lleva a creer que una infección Ryuk podría ser el paso 3 de lo que generalmente se conoce como una triple amenaza.

La mayoría de las infecciones de Emotet comienzan con un intento de ingeniería social.  Después de abrir el archivo adjunto con macros deshabilitadas, la víctima suele seguir las instrucciones que le llevan a un documento que suele contener formularios y módulos, que se utilizan para introducir un script de PowerShell que compromete el ordenador de la víctima.

Una vez descargado, el script de PowerShell circula a través de una lista de nombres de dominio CNC e intenta descargar la siguiente etapa del ataque al ordenador de la víctima.

Si la descarga tiene éxito, el archivo descargado se ejecuta y el ordenador de la víctima se infecta.

Para evitar esto las empresas deben tomar precauciones básicas que refuercen su estrategia de seguridad contra los ataques de Emotet y otros programas malignos:

. Concienciar a los usuarios sobre las posibles estafas relacionadas con COVID-19 para que tengan cuidado con los correos electrónicos de remitentes desconocidos, especialmente los que contienen archivos adjuntos o enlaces.

. Realizar auditorías de seguridad para localizar proactivamente las amenazas y buscar comportamientos sospechosos.

. Actualizar el plan de ciberseguridad. Contar con planes adecuados de continuidad de negocio y recuperación de desastres para mantener los sistemas críticos en funcionamiento en caso de un ataque y mantener actualizado el seguro de seguridad cibernética.

. Fortalecer la estrategia de copias de seguridad.

. Prevenir las comunicaciones de Emotet y dropper. 

. Deshabilitar las cuentas de administración locales. 

. Desplegar las últimas actualizaciones y parches.

. Implementar herramientas de escaneo de contenido de correo electrónico. 

Los tiempos de crisis crean oportunidades para los ciberdelincuentes.  Mientras trabajadores de todo el mundo están de baja o teletrabajando, los ciberdelincuentes están ocupados planeando su próximo ataque.  Los ataques temáticos de COVID-19 pueden causar estragos en su negocio, en un momento en que muchas empresas ya están luchando y son vulnerables. Los líderes de seguridad de TI deben permanecer vigilantes.  Si adopta un enfoque proactivo de la ciberseguridad -controlando continuamente el panorama de las amenazas y evaluando y mejorando sus sistemas y prácticas de seguridad-, podrá ir un paso por delante de los “malos” y proteger su empresa.

Gerhard Giese, Industry Strategist, Akamai Technologies