Correos fraudulentos que propagan el malware Emotet

Descripción:

En los últimos días se ha detectado un repunte del malware Emotet. En la campaña detectada, este tipo de troyano se propaga a través del envío de correos fraudulentos con el objetivo de que el receptor del mensaje descargue e instale un adjunto malicioso infectando el equipo con dicho malware. Por el momento hay constancia de que los adjuntos enviados son archivos con extensión .doc con macros maliciosas, pero podría también estarse enviando a través de enlaces contenidos en el cuerpo del correo mediante los que se descargan ficheros que provocarían la infección.

Solución:

Es importante que ante la mínima duda analices detenidamente el correo.
Para evitar infecciones relacionadas con archivos de Office, es recomendable tener especial cuidado con los archivos descargados y nunca habilitar el modo de edición a no ser que se esté seguro de que es un archivo legítimo. Tampoco se deben nunca habilitar las macros de un documento Office que no se conozca su origen.

Las macros deben estar desactivadas por defecto, y únicamente deben activarse con conocimiento del usuario. Para ello, sigue las siguientes opciones:

•    Archivo > Opciones > Centro de confianza > Configuración del Centro de confianza... > Deshabilitar las macros con notificación.
Si has descargado y ejecutado el archivo, es recomendable que desconectes de la red interna de la empresa el dispositivo infectado y realices un escaneo de todo el equipo con el antivirus siguiendo las instrucciones marcadas por el mismo para eliminar el malware. Además, es recomendable que sigas estos consejos en caso de haber ejecutado el archivo Office:
•    Mantener cualquier equipo identificado como afectado en una red aislada o desconectado de la red, para prevenir compromisos adicionales hasta asegurar que se ha eliminado la amenaza de los sistemas.
•    Analizar todos los dispositivos de la organización, ya que puede que el malware haya conseguido infectar a más dispositivos.
•    Cambiar las contraseñas tanto de los equipos como de los servicios a los que se podía acceder desde el dispositivo infectado.
•    Revisar los programas instalados, prestando especial atención a aquellos de reciente instalación.
•    Revisar los usuarios existentes en busca de los que se hayan creado recientemente, con especial cuidado a los que pertenecen al grupo administrador.
•    Actualizar todo el software y sistema operativo a la última versión disponible.
•    Nunca utilizar usuarios con permisos de administrador para realizar tareas que no tengan que ver con la administración de los dispositivos.
•    Utilizar una firma electrónica en el correo para que tus contactos puedan identificarte inequívocamente.

Para evitar ser víctima de este tipo de engaños, te recomendamos seguir estos consejos:

•    No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
•    No contestes en ningún caso a estos correos.
•    Revisa los enlaces antes de hacer clic, aunque sean de contactos conocidos.
•    Desconfía de los enlaces acortados.
•    Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
•    Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
•    Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente y verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

[Actualización 29/01/2021]
Como parte de una investigación criminal internacional, las autoridades han desmantelado la botnet Emotet, teniendo ahora el control de la red y habiendo incautado sus datos. También están distribuyendo una “bomba de relojería” que el 25 de marzo de 2021 llevará a cabo su autodestrucción. Dichas autoridades han puesto a disposición de los usuarios, con los datos incautados, una herramienta para comprobar si su correo electrónico ha sido vulnerado en alguno de los ataques de Emotet.

Emotet

Emotet es un tipo de malware diseñado originalmente como un troyano bancario dirigido a robar datos financieros, pero ha evolucionado para convertirse en una amenaza importante para los usuarios en todo el mundo.

Hablemos del malware Emotet

Es posible que haya escuchado hablar de Emotet en las noticias. ¿Qué es?: ¿Un rey del antiguo Egipto, el grupo emo favorito de su hermana adolescente? Nos tememos que no.
El troyano bancario Emotet fue identificado por primera vez por investigadores de seguridad en 2014. Emotet fue diseñado originalmente como un malware bancario que intentaba colarse en su ordenador y robar información confidencial y privada. En versiones posteriores del software se añadieron los servicios de envío de spam y malware, incluidos otros troyanos bancarios.
Emotet utiliza funciones que ayudan al software a eludir la detección por parte de algunos productos anti-malware. Emotet utiliza capacidades similares a las de un gusano para ayudar a su propagación a otros ordenadores conectados. Esto ayuda a la distribución del malware. Esta funcionalidad ha llevado al Departamento de Seguridad Nacional de los Estados Unidos a la conclusión de que Emotet es uno de los malware más costosos y destructivos, que afecta a los sectores gubernamentales y privados, particulares y organizaciones, y cuya limpieza por incidente cuesta más de 1 millón de dólares.

¿Qué es Emotet?

Emotet es un troyano que se propaga principalmente a través de correos electrónicos de spam (malspam). La infección puede llegar a través de archivos de órdenes maliciosos, archivos de documentos habilitados para macros o enlaces maliciosos. Los correos electrónicos de Emotet pueden contener imágenes de marcas conocidas diseñadas para que parezcan un correo electrónico legítimo. Emotet puede intentar persuadir a los usuarios para que hagan clic en los archivos maliciosos utilizando un lenguaje tentador sobre "Su factura", "Información de pago" o posiblemente un próximo envío de empresas de mensajería muy conocidas.
Emotet ha pasado por algunas repeticiones. Las primeras versiones llegaron como un archivo JavaScript malicioso. Las versiones posteriores evolucionaron para utilizar documentos habilitados para macros para recuperar la carga de virus de los servidores de comando y control (C&C) ejecutados por los atacantes.  
"Emotet es polimórfico, lo que significa que puede cambiar por sí mismo cada vez que se descarga y evitar la detección basada en firmas".
Emotet utiliza una serie de trucos para intentar evitar la detección y el análisis. Emotet es polimórfico, lo que significa que puede cambiar por sí mismo cada vez que se descarga y evitar la detección basada en firmas. Además, Emotet sabe si se está ejecutando dentro de una máquina virtual (virtual machine, VM) y permanecerá inactivo si detecta un entorno de sandbox.
Emotet también utiliza servidores de C&C para recibir actualizaciones. Esto funciona de la misma forma que las actualizaciones del sistema operativo en su PC y puede ocurrir sin problemas y sin ningún signo externo. Ello permite a los atacantes instalar versiones actualizadas del software, instalar malware adicional, como otros troyanos bancarios, o actuar como vertedero de información robada, como credenciales financieras, nombres de usuario y contraseñas y direcciones de correo electrónico.

¿Cómo se propaga Emotet?

El principal método de distribución de Emotet es a través de malspam. Emotet saquea su lista de contactos y se envía a sus amigos, familiares, compañeros de trabajo y clientes. Puesto que estos correos electrónicos provienen de su cuenta de correo electrónico secuestrada, los correos electrónicos se parecen menos a spam, y los destinatarios, al sentirse seguros, tienden más a hacer clic en las direcciones URL incorrectas y descargar archivos infectados.

Si hay una red conectada, Emotet se propaga utilizando una lista de contraseñas comunes y adivina su camino hacia otros sistemas conectados en un ataque de fuerza bruta. Si la contraseña del importantísimo servidor de recursos humanos es simplemente "contraseña", entonces es probable que Emotet encuentre su camino hasta allí.
Otro método que Emotet utiliza para propagarse es a través de las vulnerabilidades EternalBlue/DoublePulsar, que fueron responsables de los ataques WannaCry y NotPetya. Estos ataques aprovechan las vulnerabilidades de Windows que pueden permitir la instalación de malware sin interacción humana.
Esta capacidad de autorreplicado, como un tipo de malware que llamamos gusano, provoca interminables dolores de cabeza a los administradores de red de todo el mundo a medida que Emotet se propaga de un sistema a otro.

¿Cuál es la historia de Emotet?

Identificado por primera vez en 2014, Emotet continúa infectando sistemas y dañando a los usuarios hasta la fecha, por lo que seguimos hablando de ello, a diferencia de otras tendencias de 2014 (¿alguien se acuerda del desafío del cubo de agua helada?).

La primera versión de Emotet fue diseñada para robar los datos de las cuentas bancarias interceptando el tráfico de Internet. Poco tiempo después, se detectó una nueva versión del software. Esta versión, llamada Emotet versión dos, venía empaquetada con varios módulos, incluidos un sistema de transferencia de dinero, un módulo de malspam y un módulo bancario dirigido a bancos alemanes y austriacos.

"Las versiones actuales del troyano Emotet incluyen la posibilidad de instalar otros malware en los equipos infectados. Este malware puede incluir otros troyanos bancarios o servicios de entrega de malspam".

En enero de 2015, apareció en escena una nueva versión de Emotet. La tercera versión contenía modificaciones ocultas diseñadas para mantener el malware fuera del radar y añadía nuevos objetivos bancarios suizos.

Avance rápido hasta 2018: Las versiones actuales del troyano Emotet incluyen la posibilidad de instalar otros malware en los equipos infectados. Este malware puede incluir otros troyanos bancarios o servicios de entrega de malspam.

¿A quién se dirige Emotet?

Todo el mundo es objetivo de Emotet. Hasta la fecha, Emotet ha afectado a particulares, empresas y entidades gubernamentales en Estados Unidos y Europa, y ha robado registros bancarios, datos financieros e incluso carteras de bitcoin.

Un ataque digno de mención de Emotet en Allentown (Pensilvania) requirió la ayuda directa del equipo de respuestas a incidentes de Microsoft para la limpieza y, al parecer, su reparación le costó a la ciudad más de 1 millón de dólares.

Ahora que Emotet se está utilizando para descargar y repartir otros troyanos bancarios, la lista de objetivos es, en potencia, aún más amplia. Las primeras versiones de Emotet se utilizaron para atacar a clientes bancarios en Alemania. Las versiones posteriores de Emotet se dirigieron a organizaciones en Canadá, Reino Unido y Estados Unidos.
"Un ataque digno de mención de Emotet en Allentown (Pensilvania) requirió la ayuda directa del equipo de respuestas a incidentes de Microsoft para la limpieza y, al parecer, su reparación le costó a la ciudad más de 1 millón de dólares".

¿Cómo puedo protegerme frente a Emotet?

1.    Mantenga su equipo/terminales actualizados con los parches más recientes para Microsoft Windows. Emotet puede confiar en la vulnerabilidad de Windows EternalBlue para hacer su trabajo sucio, así que no deje esa puerta trasera abierta en su red.
2.    No descargue archivos adjuntos sospechosos ni haga clic en un enlace que parezca sospechoso. Emotet no puede tener ese punto de apoyo inicial en su sistema o red si evita esos correos electrónicos sospechosos. Tómese tiempo para educar a sus usuarios sobre cómo detectar malspam.
3.    Aprenda y enseñe a sus usuarios sobre cómo crear una contraseña segura. Ya que está en ello, empiece a usar la autenticación de dos factores.
4.    Puede protegerse a sí mismo y a sus usuarios contra Emotet con un programa seguro de seguridad informática que incluya protección multicapa. Los productos para negocios y usuarios premium de Malwarebytes detectan y bloquean Emotet en tiempo real.   

¿Cómo puedo eliminar Emotet?

Si sospecha que ya ha sido infectado por Emotet, no se asuste. Si su equipo está conectado a una red, aíslelo de inmediato. Una vez aislado, proceda a parchear y limpiar el sistema infectado. Pero aún no ha terminado. Debido a la forma en la que Emotet se propaga por su red, un ordenador limpio se puede volver a infectar cuando se conecta de nuevo a una red infectada. Limpie cada ordenador de su red uno a uno. Es un proceso tedioso, pero las soluciones de negocio de Malwarebytes pueden facilitarlo, aislando y desinfectando los terminales infectados y ofreciendo protección proactiva contra futuras infecciones de Emotet.