Con el paso de los años, las tácticas y técnicas que se emplean para infectar máquinas con malware han ido evolucionando, los actores de amenaza cada vez emplean mejores herramientas para la distribución de todo tipo de malware, desde un virus o gusano, hasta el temido ransomware esto siempre con un fin lucrativo.
En esta ocasión, la principal novedad es el resurgimiento del troyano Emotet, el cual, después de 7 años, reaparece para infectar endpoints y servidores con la finalidad de robar información sensible de los usuarios. Este malware se propaga por medio de campañas de spam, en dichos correos vienen adjuntos documentos, archivos comprimidos y/o URLs, y por medio de ingeniería social con algún tema financiero relacionado, persuaden a los usuarios a abrir esos archivos adjuntos.
El modo en el que opera es el siguiente: un correo spam con adjuntos maliciosos llega al buzón de un usuario, éste sin tener cuidado de validar la procedencia de dicho correo, abre los adjuntos. Una vez hecho eso, se ejecuta una macro en segundo plano a través de PowerShell que descarga el malware Emotet desde un sitio web comprometido, éste se ejecuta y comienza a obtener información del usuario, del sistema, credenciales de acceso, etc. La información robada es enviada a servidores C2 (Command and Control) del atacante donde éste la utiliza con el fin de obtener un beneficio económico.
Lo que lo convierte a Emotet en una de las ciber amenazas más grandes de la historia es que emplea el modelo MaaS (Malware as a Service) para alquilar las máquinas infectada a demás grupos o actores maliciosos para infectarlas con más malware como el ransomware.
Recomendación
Afortunadamente, las soluciones de Tren Micro que ofrece NOVA como Apex One, Deep Security, Deep Discovery Inspector, etc. ya cuentan con los patrones para detectar Emotet en todas sus variantes y versiones a través de módulos como Predictive Machine Learning o Behavior Monitoring. Aunado a ello, se recomienda concientizar a los empleados a no abrir cualquier email o adjunto si no se reconoce su procedencia.
Te invitamos a seguirnos en nuestras redes sociales Instagram, Facebook y LinkedIn para encontrar éstas y demás soluciones que NOVA ofrece para mantener tu infraestructura de red segura y libre de ciber amenazas.
