Fecha de publicación: Mar, 16/11/2021 - 15:28

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

El malware Emotet se consideró el malware más frecuente en el pasado, utilizando campañas de spam y archivos adjuntos maliciosos para distribuir el malware.

Emotet utiliza dispositivos infectados para ejecutar otras campañas de spam e instalar otras cargas útiles, como el malware QakBot (Qbot) y Trickbot. Estas cargas útiles proporcionan accesos iniciales a los actores de amenazas para distribuir ransomware, incluidos Ryuk, Conti, ProLock, Egregor y muchos más.

A principios de este año, una acción policial internacional coordinada por Europol y Eurojust se hizo cargo de la infraestructura de Emotet y arrestó a dos personas.

Según un informe del investigador de seguridad Luca Ebach, el malware TrickBot se está utilizando como un punto de entrada para distribuir lo que parece ser una nueva versión de Emotet en sistemas previamente infectados por el primero.

Emotet utiliza funciones que ayudan al software a eludir la detección y análisis por parte de algunos productos anti-malware. Emotet es polimórfico, lo que significa que puede cambiar por sí mismo cada vez que se descarga y evitar la detección basada en firmas. Además, Emotet sabe si se está ejecutando dentro de una máquina virtual y permanecerá inactivo si detecta un entorno de sandbox.

Emotet utiliza capacidades similares a las de un gusano para su propagación y distribución del malware a otros ordenadores conectados. Esta funcionalidad ha llevado al Departamento de Seguridad Nacional de los Estados Unidos a la conclusión de que Emotet es uno de los malware más costosos y destructivos, que afecta a los sectores gubernamentales y privados.

Recursos afectados

Direcciones de correo electrónico con credenciales débiles.

Sistemas Operativos Windows con vulnerabilidad de EternalBlue/DoublePulsar.

Solución/Mitigación

La organización de monitoreo de malware sin fines de lucro Abuse.ch ha publicado una lista de servidores de comando y control utilizados por la nueva botnet Emotet y sugiere encarecidamente que los administrdores de red bloqueen las direcciones IP asociadas.

Indicadores de compromiso

Abuse.ch publicó un listado de IP’s comprometidas.

Recomendaciones

Debe bloquear todas las direcciones IP asociadas para evitar que sus dispositivos sean reclutados en la red de bots Emotet recientemente reformada.

Mantenga su equipos actualizados con los parches más recientes para Microsoft Windows.

No descargue archivos adjuntos sospechosos ni haga clic en un enlace que parezca sospechoso.

Referencias

Emotet vuelve a través de TrickBot