Emotet… o la crónica de un regreso anunciado

Durante los primeros seis meses del año se propagó mediante campañas de spam que fueron masivas y se ha situado en el top 5 de malware más buscado. Pero en junio, la botnet Emotet se ha mantenido más bien inoperativa.

Este freno a sus operaciones, sin embargo, no debería llevar a engaño. Check Point, que viene de publicar su Índice Global de Amenazas de julio de 2019, advierte de que probablemente sus responsables estén acometiendo tareas de mantenimiento y de actualización de la infraestructura. Esto quiere decir que, en cuanto los servidores vuelvan a funcionar, Emotet comenzará a hacer de las suyas con una funcionalidad, además, mejorada.

En España, aunque el criptojacker XMRig y el troyano Darkgate son las dos amenazas dominantes, con un 12,74 % y un 9,26 % de empresas atacadas, respectivamente, Emotet se cuela en el tercer puesto con un 7,09 % de compañías afectadas.

Este troyano modular y autopropagable ha pasado de actuar como troyano bancario a convertirse en distribuidor de otros programas o campañas. Y lo hace aprovechando diferentes técnicas de evasión. “Emotet apareció en 2014 como troyano bancario. Sin embargo, desde 2018 hemos visto como se ha utilizado como una botnet en campañas de malspam de gran calado, así como para distribuir otros elementos de malware”, confirma Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point. Un ejemplo sería la descarga de Trickbot, “que a su vez infecta toda la red del huésped con el ransomware Ryuk.

“A pesar de que su infraestructura ha estado inactiva durante gran parte de junio, Emotet sigue siendo uno de los 5 malware más buscados a nivel mundial, lo que pone de manifiesto el alto nivel de infección de esta amenaza y la alta probabilidad de que vuelva con nuevas características”, añade Horowitz.