A fondo: Emotet, el final de un ‘malware’ endiablado
Una colaboración entre autoridades europeas y americanas ha desarticulado una de las redes de bots más dañinas de la última década.
Emotet ha sido la pesadilla de empresas y profesionales de la seguridad durante años. Empezó su andadura como troyano bancario allá por 2014, pero con el tiempo terminó convirtiéndose en “el malware más peligroso del mundo”.
Así lo define la propia Europol. Emotet ha sabido evolucionar para convertirse en solución de referencia para la comunidad del cibercrimen. Como troyano modular, polimórfico, autopropagable y persistente, se transformó en distribuidor de otros programas. Y lo hizo, además, aprovechando diferentes señuelos y técnicas de evasión. Detectarlo siempre ha sido complicado.
Tener un rival de esta magnitud en tiempos de COVID es algo peligroso. Los ciberdelincuentes no discriminan entre objetivos y están utilizando el tema de la pandemia de coronavirus para sumar nuevas víctimas a su haber, incluso entre los propios profesionales de la salud. Ya a finales de 2020 Emotet estuvo implicado en ataques contra hospitales.
Su difícil detección y la ayuda a infecciones adicionales, desde robo de datos privados a extorsiones, hablan precisamente de su nivel de peligrosidad. Un ejemplo del papel que ha estado realizando como facilitador de otras campañas maliciosas es su colaboración para la descarga de Trickbot, capaz a su vez de causar estragos a través del ransomware Ryuk, que cifra archivos y secuestra equipos.
Emotet ha exprimido el correo electrónico como forma de ataque, apoyándose en documentos de Word maliciosos que solicitan la habilitación de macros para ejecutar código oculto. Su forma de proceder pasa por establecer una puerta trasera en sistemas Windows a través de phishing automatizado.
Esta red de bots es conocida por difundir campañas de spam sobre temas de actualidad, como las temáticas de “¡Fiesta de Navidad!” y “Apoya a Greta Thunberg, Persona del Año 2019” que utilizó en su momento para llegar lo más lejos posible. Habitualmente paraba operaciones desde el 24 de diciembre hasta enero, pero las pasadas Navidades volvió a hacer de las suyas.
Desde hace un par de años, Emotet copa titulares al refugiarse detrás de la mayoría de cargas maliciosas que se analizan y situarse como principal enemigo de las empresas, a nivel mundial y también en España. Con algún parón de por medio para tareas de mantenimiento y la revisión de su potencial, siempre ha terminado regresando a la acción.
Pero los días de gloria de Emotet han llegado a su fin. Una colaboración internacional que implica a Alemania, Francia, Lituania, Países Bajos, Reino Unido, Ucrania, Canadá y Estados Unidos, a cargo de la Europol y Eurojust en el marco de la plataforma contra ciberamenazas EMPACT, le ha dado caza.
Las autoridades policiales y judiciales consiguieron controlar la infraestructura empleada por Emotet, compuesta por cientos de servidores desperdigados por todo el mundo, y la derribaron desde dentro. Estos servidores permitían dominar los ordenadores de sus víctimas, propagarse a máquinas nuevas y respaldar a otros grupos de ciberdelincuencia.
Las computadoras infectadas se han redirigido hacia la infraestructura que ahora controlan las fuerzas del orden. Por otro lado, esta operación ha sacado a la luz una base de datos con direcciones de correo electrónico, nombres de usuario y contraseñas que Emotet fue acumulando durante sus acciones.
Los riesgos del correo electrónico
La comunidad de seguridad ya celebra la victoria. “El desmantelamiento de Emotet supone un hito muy relevante en la lucha contra la ciberdelincuencia”, aprecia Adolf Streda, analista de malware de Avast.
“Ha sido como una navaja suiza”, describe, “por sus múltiples habilidades para robar contraseñas, sustraer dinero de cuentas bancarias y agregar los dispositivos de las victimas a las redes de bots, para lanzar así más campañas de phishing. Este malware ha utilizado potentes métodos de ocultación para evitar ser neutralizado por los antivirus y ha sido ofrecido por sus creadores como servicio de malware a otros ciberdelincuentes”.
“Ver la desarticulación de este malware por parte de las autoridades competentes es una noticia muy positiva para el mundo de la ciberseguridad teniendo en cuenta su amplio alcance y la gran cantidad de familias de malware reconocidas atribuidas a su infraestructura”, destaca Streda.
Para evitar caer en la trampa de malware como Emotet, los expertos aconsejan utilizar soluciones de seguridad en todos los dispositivos informáticos. Pero también usar el sentido común. Esto pasa por evitar abrir mensajes de remitentes desconocidos, pinchar en sus enlaces o descargar sus adjuntos.