Saltar al contenido

Cómo responder con eficacia al malware Emotet

Cómo responder con eficacia al malware Emotet

El CERT de Nueva Zelanda y otros organismos han alertado hace unos días de un aumento de actividad de Emotet en organizaciones de todo el globo. Se trata de un malware bastante avanzado y que es capaz de auto-replicarse y permanecer en el sistema a largo plazo.

En España, grandes corporaciones y bancos han sufrido ataques en los últimos meses, con una reciente oleada en Julio de 2020. Antes de que se produzca la siguiente oleada de infecciones, es conveniente estar informado para saber responder.

¿Qué es Emotet?

Emotet es actualmente un Troyano modular con backdoor que ha evolucionado desde sus orígenes como troyano bancario. No ha parado de recibir actualizaciones en los últimos 2 años y esto ha mejorado su efectividad.

De hecho, últimamente Emotet ha sido utilizado como dropper o distribuidor/portador de otros malware o campañas maliciosas. En los últimos tiempos, se ha empleado sobre todo como medio de entrada para el ransomware, un asunto bastante grave para una empresa de cualquier tamaño.

La vía de entrada de Emotet es normalmente un correo malicioso que emplea téncicas de phishing para engañar a algún empleado y moverse lateralmente por la red, como por ejemplo ocurrió en Febrero a cuenta del COVID-19.

Emotet en la actualidad

Actualmente se cierne una amenaza sobre equipos, servidores y redes basados en tecnologías de Microsoft Windows. Vuelven a aumentar los envíos de spam y correos suplantados con técnicas de ingeniería social que incitan al usuario a abrir un adjunto con macros maliciosas o algún ejecutable que deje caer el “bicho”.

Los correos pueden ser de tipo muy diverso, desde facturas pendientes de pago o documentos financieros a currículums, órdenes de envío de paquetes o documentos escaneados en una supuesta impresora del entorno.

Emotet está diseñado para sustraer las credenciales de acceso para las cuentas de correo configuradas en el sistema infectado.Después serán traspasadas a spam bots que realizarán envíos masivos de Spam para empujar la infección del malware a cotas mayores.

O también pueden robar la información que se encuentra en nuestro buzón de correo, usándola para enviar emails desde otra ubicación suplantada. Por ejmeplo, podrían pretender continuar un hilo de correos legítimo existente (esto no es exactamente “nuevo”).

Finalmente, podrían utilizarlo apra desplegar otro malware, como podría ser Trickbot o Qbot (este último más reciente). Se ha comprobado con horror la efectividad del trío Emotet + Trickbot + Ryuk en los últimos meses.

Así que se trata de un peligroso malware que puede atacar nuestra red, exfiltrar información o como compañero de viaje perfecto para otras amenazas como Ryuk, Conti, Maze o ProLock (todos ellos ransowmare).

Una respuesta efectiva

Esto pasaría en primer lugar por una información fresca y fiable sobre esta siempre cambiante amenaza. Lo primero, comprobar nuestros logs de tráfico de red saliente (DNS, proxy HTTP) para verificar si hay comunicación con algún recurso remoto identificado (C2). Para eso se puede utilizar FeodoTracker.

Otros recursos a considerar son:

Existe, por otro lado, una herramienta suministrada por el CERT de Japón que nos permite diagnosticar infecciones por Emotet en un equipo final y remediarlas.

Pasos para prevenir la infección

Emotet se difunde a través de archivos ofimáticos de Microsoft con macros habilitadas, así que debemos considerar lo siguiente:

  • Deshabilitar Macros en Microsoft Office.
  • Verificar la respuesta de nuestro antivirus y sus patrones de firmas, que deben ser actuales. Por ejemplo, puedes realizar un EICAR test de vez en cuando.
  • Restringir la ejecución de scripts Powershell para solamente aquellos que sean “firmados”.Mira este artículo donde lo explico.
  • En general, aplicar el principio de least privilege o “mínimo privilegio”, otorgando a cada usuario del entorno los permisos estrictamente necesarios para realizar su función.
  • Se recomienda encarecidamente el uso de filtros de navegación y filtros de Email (por ejemplo, Cisco CES o PaloAlto Wildfire).
  • Whitelisting de aplicaciones. Como último recurso útil (aunque su implementación es costosa en cuanto a tiempo) tenemos soluciones nativas de Microsoft como AppLocker/WDAC o de terceros. Este tipo de soluciones permiten controlar qué programas se pueden ejecutar en un equipo, reduciendo la superficie de exposición.
  • Segmentación de red: contar con mecanismos como diferentes VLAN para aislar mejor el movimiento entre redes.También podemos hablar de implementación de redes Zero Trust como ya hice en la Checklist de seguridad para el teletrabajo.
  • Emotet-stopper: una suerte de “vacuna” desarrollada por el CCN-CERT que previene posibles infecciones en sistemas Windows. Tal como la describen:

El ejecutable lanza un proceso en segundo plano (emotet-stopper.exe) que neutraliza la ejecución del código dañino.

Por ultimo, conviene añadir la conveniencia de contar con copias de seguridad offline de nuestros sistemas, junto a una combinación de backups completos y diferenciales/incrementales.

Medidas de mitigación

Volviendo al boletín informativo del CERT-NZ, tenemos una serie de recomendaciones para mitigar una infección por Emotet que ya esté ocurriendo.

  • Aislar el sistema infectado cuanto antes y verificar la posible afectación a otros equipos de la red.
  • Volver a desplegar imagen de sistema y parchear los equipos.
  • Cambiar credenciales, principalmente las de administrador local y administrador de dominio.
  • Avisar a la empresa de forma apropiada para que la gente se abstenga de caer en el engaño
  • Revisar filtros de email, web y revisar asimismo registros de antivirus
  • Habilitar el historial de comandos en Powershell para descubrir estos indicadores en equipos infectados.

Espero que con estas recomendaciones y un poco de suerte, unido a un trabajo bien hecho, nunca tengáis que enfrentaros a este incómodo adversario y que, si lo hacéis, podáis contenerlo con éxito!

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

2 comentarios sobre “Cómo responder con eficacia al malware Emotet Deja un comentario

  1. Como siempre, muy interesantes tus artículos y lo actualizados que son.

    Aunque ya no me dedico de pleno a la seguridad, me sigue gustando estar al día y tu blog es uno de mis puntos de referencia, una de mis paradas obligada para saber qué se cuece “ahí fuera” y sus posibles soluciones.

    ¡Enhorabuena!

    Salu2

    Le gusta a 1 persona

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: