Cómo responder con eficacia al malware Emotet

El CERT de Nueva Zelanda y otros organismos han alertado hace unos días de un aumento de actividad de Emotet en organizaciones de todo el globo. Se trata de un malware bastante avanzado y que es capaz de auto-replicarse y permanecer en el sistema a largo plazo.

En España, grandes corporaciones y bancos han sufrido ataques en los últimos meses, con una reciente oleada en Julio de 2020. Antes de que se produzca la siguiente oleada de infecciones, es conveniente estar informado para saber responder.

¿Qué es Emotet?

Emotet es actualmente un Troyano modular con backdoor que ha evolucionado desde sus orígenes como troyano bancario. No ha parado de recibir actualizaciones en los últimos 2 años y esto ha mejorado su efectividad.

De hecho, últimamente Emotet ha sido utilizado como dropper o distribuidor/portador de otros malware o campañas maliciosas. En los últimos tiempos, se ha empleado sobre todo como medio de entrada para el ransomware, un asunto bastante grave para una empresa de cualquier tamaño.

La vía de entrada de Emotet es normalmente un correo malicioso que emplea téncicas de phishing para engañar a algún empleado y moverse lateralmente por la red, como por ejemplo ocurrió en Febrero a cuenta del COVID-19.

Emotet en la actualidad

Actualmente se cierne una amenaza sobre equipos, servidores y redes basados en tecnologías de Microsoft Windows. Vuelven a aumentar los envíos de spam y correos suplantados con técnicas de ingeniería social que incitan al usuario a abrir un adjunto con macros maliciosas o algún ejecutable que deje caer el «bicho».

Los correos pueden ser de tipo muy diverso, desde facturas pendientes de pago o documentos financieros a currículums, órdenes de envío de paquetes o documentos escaneados en una supuesta impresora del entorno.

Emotet está diseñado para sustraer las credenciales de acceso para las cuentas de correo configuradas en el sistema infectado.Después serán traspasadas a spam bots que realizarán envíos masivos de Spam para empujar la infección del malware a cotas mayores.

O también pueden robar la información que se encuentra en nuestro buzón de correo, usándola para enviar emails desde otra ubicación suplantada. Por ejmeplo, podrían pretender continuar un hilo de correos legítimo existente (esto no es exactamente «nuevo»).

Finalmente, podrían utilizarlo apra desplegar otro malware, como podría ser Trickbot o Qbot (este último más reciente). Se ha comprobado con horror la efectividad del trío Emotet + Trickbot + Ryuk en los últimos meses.

Así que se trata de un peligroso malware que puede atacar nuestra red, exfiltrar información o como compañero de viaje perfecto para otras amenazas como Ryuk, Conti, Maze o ProLock (todos ellos ransowmare).

Una respuesta efectiva

Esto pasaría en primer lugar por una información fresca y fiable sobre esta siempre cambiante amenaza. Lo primero, comprobar nuestros logs de tráfico de red saliente (DNS, proxy HTTP) para verificar si hay comunicación con algún recurso remoto identificado (C2). Para eso se puede utilizar FeodoTracker.

Otros recursos a considerar son:

• Feed de URLs asociadas con Emotet: publicado por URLhaus
• Información e IOC relacionados con Emotet: publicado diariamente por Cryptolaemus

Existe, por otro lado, una herramienta suministrada por el CERT de Japón que nos permite diagnosticar infecciones por Emotet en un equipo final y remediarlas.

Pasos para prevenir la infección

Emotet se difunde a través de archivos ofimáticos de Microsoft con macros habilitadas, así que debemos considerar lo siguiente:

• Deshabilitar Macros en Microsoft Office.
• Verificar la respuesta de nuestro antivirus y sus patrones de firmas, que deben ser actuales. Por ejemplo, puedes realizar un EICAR test de vez en cuando.
• Restringir la ejecución de scripts Powershell para solamente aquellos que sean «firmados».Mira este artículo donde lo explico.
• En general, aplicar el principio de least privilege o «mínimo privilegio», otorgando a cada usuario del entorno los permisos estrictamente necesarios para realizar su función.
• Se recomienda encarecidamente el uso de filtros de navegación y filtros de Email (por ejemplo, Cisco CES o PaloAlto Wildfire).
• Whitelisting de aplicaciones. Como último recurso útil (aunque su implementación es costosa en cuanto a tiempo) tenemos soluciones nativas de Microsoft como AppLocker/WDAC o de terceros. Este tipo de soluciones permiten controlar qué programas se pueden ejecutar en un equipo, reduciendo la superficie de exposición.
• Segmentación de red: contar con mecanismos como diferentes VLAN para aislar mejor el movimiento entre redes.También podemos hablar de implementación de redes Zero Trust como ya hice en la Checklist de seguridad para el teletrabajo.
• Emotet-stopper: una suerte de «vacuna» desarrollada por el CCN-CERT que previene posibles infecciones en sistemas Windows. Tal como la describen:

El ejecutable lanza un proceso en segundo plano (emotet-stopper.exe) que neutraliza la ejecución del código dañino.

Por ultimo, conviene añadir la conveniencia de contar con copias de seguridad offline de nuestros sistemas, junto a una combinación de backups completos y diferenciales/incrementales.

Medidas de mitigación

Volviendo al boletín informativo del CERT-NZ, tenemos una serie de recomendaciones para mitigar una infección por Emotet que ya esté ocurriendo.

• Aislar el sistema infectado cuanto antes y verificar la posible afectación a otros equipos de la red.
• Volver a desplegar imagen de sistema y parchear los equipos.
• Cambiar credenciales, principalmente las de administrador local y administrador de dominio.
• Avisar a la empresa de forma apropiada para que la gente se abstenga de caer en el engaño
• Revisar filtros de email, web y revisar asimismo registros de antivirus
• Habilitar el historial de comandos en Powershell para descubrir estos indicadores en equipos infectados.

Espero que con estas recomendaciones y un poco de suerte, unido a un trabajo bien hecho, nunca tengáis que enfrentaros a este incómodo adversario y que, si lo hacéis, podáis contenerlo con éxito!