El malware Emotet, alguna vez considerado el más extendido del mundo, está de regreso casi 10 meses después de que una operación policial coordinada por Europol y Eurojust desmantelara su infraestructura de comando y control a fines de enero de 2021.
Según un nuevo informe del investigador de seguridad Luca Ebach, el malware TrickBot se está utilizando como vector de ataque para una nueva versión de Emotet para atacar sistemas que ya han sido infectados por la versión anterior. La última variante toma la forma de un archivo DLL, y la primera aparición se detectó el 14 de noviembre.
Europol calificó a Emotet como el "malware más peligroso del mundo" por su capacidad de actuar como un "abrepuertas" para que los piratas informáticos obtengan acceso no autorizado, lo que lo convierte en un precursor de los ataques de ransomware. Emotet ha permitido que otras familias de malware como Trickbot, QakBot y Ryuk se propaguen a gran escala.
La operación policial utilizó la infraestructura de Emotet para desinstalar automáticamente malware masivo de computadoras comprometidas en abril.
Para evitar que los dispositivos sean incorporados a la botnet, se recomienda que los administradores de red bloqueen todas las direcciones IP asociadas .
En menos de 24 horas, Emotet ha ampliado su infraestructura de comando y control de botnets (C2) de 9 servidores C2 activos a 14 servidores C2 activos.
El aumento de la actividad del malware ha ido acompañado de un crecimiento en las campañas de malspam, con cadenas de infección que utilizan documentos de Word y Excel habilitados para macros adjuntos a los correos electrónicos. Kevin Beaumont, investigador de seguridad, tuiteó :
El Emotet está] de vuelta y reacondicionado. El código y la infraestructura tuvieron actualizaciones, ahora están más protegidos. Debe ser alguien con acceso al código fuente original.
El experto en Emotet e investigador de Cryptolaemus, Joseph Roosen, agrega:
Hasta ahora podemos confirmar definitivamente que el búfer de comandos ha cambiado. Ahora hay 7 comandos en lugar de 3-4. Parece haber varias opciones de ejecución para los binarios descargados (ya que no son solo dlls).
Vitali Kremez de Advanced Intel también analizó el nuevo dropper Emotet y advirtió que el renacimiento de la botnet podría conducir a un aumento de las infecciones de ransomware:
Es una primera señal de una posible actividad inminente del malware Emotet, que alimenta las principales operaciones de ransomware a nivel mundial debido a la escasez en el ecosistema del cargador.
La eliminación de Emotet no impidió que los oponentes obtuvieran el archivo de malware original y configuraran el sistema de back-end, devolviéndolo a la vida.
Fuentes: Bleeping Computer y The Hacker News
Cuente con International IT para proteger a su empresa de los ciberataques con lo mejor del mercado.
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
