Emotet

Emotet es un tipo de malware diseñado originalmente como troyano bancario destinado a robar datos financieros, pero que ha evolucionado hasta convertirse en una gran amenaza para usuarios de todo el mundo.

DESCARGAR MALWAREBYTES GRATIS

También para Windows, iOS, Android, Chromebook y Para empresas

Hablemos del malware Emotet

Es posible que haya oído hablar de Emotet en las noticias. ¿Qué es? ¿Un antiguo rey egipcio, el grupo emo favorito de tu hermana adolescente? Nos tememos que no.

El troyano bancario Emotet fue identificado por primera vez por investigadores de seguridad en 2014. Emotet fue diseñado originalmente como un malware bancario que intentaba colarse en el ordenador y robar información sensible y privada. En versiones posteriores del software se añadieron servicios de envío de spam y malware, incluidos otros troyanos bancarios.

Emotet utiliza funciones que le ayudan a eludir la detección de algunos productos antimalware. Emotet utiliza capacidades de tipo gusano para ayudar a propagarse a otros ordenadores conectados. Esto ayuda a la distribución del malware. Esta funcionalidad ha llevado al Departamento de Interior Security a concluir que Emotet es uno de los programas maliciosos más costosos y destructivos, que afecta a los sectores público y privado, a particulares y a organizaciones, y cuya limpieza cuesta más de un millón de dólares por incidente.

Productos de ciberseguridad Emotet

Para las empresas

Malwarebytes Detección y respuesta a puntos finales
Malwarebytes Protección de puntos finales
Malwarebytes Incident Response

¿Qué es Emotet?

Emotet es un troyano que se propaga principalmente a través de correos electrónicos no deseados(malspam). La infección puede llegar a través de un script malicioso, archivos de documentos con macros o enlaces maliciosos. Los correos electrónicos de Emotet pueden contener marcas familiares diseñadas para parecerse a un correo legítimo. Emotet puede intentar persuadir a los usuarios para que hagan clic en los archivos maliciosos utilizando un lenguaje tentador sobre "Su factura", "Detalles de pago" o, posiblemente, un próximo envío de conocidas empresas de paquetería.

Emotet ha pasado por varias iteraciones. Las primeras versiones llegaban como un archivo JavaScript malicioso. Las versiones posteriores evolucionaron para utilizar documentos con macros habilitadas para recuperar la carga útil del virus desde servidores de comando y control (C&C) gestionados por los atacantes.

Emotet utiliza una serie de trucos para intentar evitar su detección y análisis. En particular, Emotet sabe si se está ejecutando dentro de una máquina virtual (VM) y permanecerá inactivo si detecta un entorno sandbox, que es una herramienta que los investigadores de ciberseguridad utilizan para observar el malware dentro de un espacio seguro y controlado.

Emotet también utiliza servidores C&C para recibir actualizaciones. Esto funciona de la misma manera que las actualizaciones del sistema operativo en su PC y puede ocurrir sin problemas y sin ningún signo externo. Esto permite a los atacantes instalar versiones actualizadas del software, instalar malware adicional, como otros troyanos bancarios, o actuar como vertedero de información robada, como credenciales financieras, nombres de usuario y contraseñas, y direcciones de correo electrónico.

Noticias Emotet

ℹ️ Emotet se está distribuyendo directamente a través de documentos malspam ahora. pic.twitter.com/pqYwSdIm82
- ThreatDown (@Threat_Down) Noviembre 16, 2021

¿Cómo se propaga Emotet?

El principal método de distribución de Emotet es el malspam. Emotet saquea tu lista de contactos y se envía a tus amigos, familiares, compañeros de trabajo y clientes. Como estos correos proceden de tu cuenta de correo secuestrada, no parecen spam y los destinatarios, al sentirse seguros, se sienten más inclinados a hacer clic en URL maliciosas y descargar archivos infectados.

Si hay una red conectada, Emotet se propaga utilizando una lista de contraseñas comunes, adivinando su camino hacia otros sistemas conectados en un ataque de fuerza bruta. Si la contraseña del importante servidor de recursos humanos es simplemente "contraseña", es probable que Emotet llegue hasta allí.

Los investigadores pensaron inicialmente que Emotet también se propagaba utilizando las vulnerabilidades EternalBlue/DoublePulsar, responsables de los ataques WannaCry y NotPetya. Ahora sabemos que no es así. Lo que llevó a los investigadores a esta conclusión fue el hecho de que TrickBot, un troyano a menudo propagado por Emotet, hace uso del exploit EternalBlue para propagarse a través de una red determinada. Era TrickBot, y no Emotet, quien se aprovechaba de las vulnerabilidades EternalBlue/DoublePulsar.

¿Cuál es la historia de Emotet?

Identificado por primera vez en 2014, Emotet sigue infectando sistemas y perjudicando a los usuarios a día de hoy, razón por la que seguimos hablando de él, a diferencia de otras tendencias de 2014 (¿alguien se atreve con el Ice Bucket Challenge?).

La primera versión de Emotet estaba diseñada para robar datos bancarios interceptando el tráfico de Internet. Poco después se detectó una nueva versión del programa. Esta versión, denominada Emotet versión dos, venía empaquetada con varios módulos, entre ellos un sistema de transferencia de dinero, un módulo de malspam y un módulo bancario dirigido a bancos alemanes y austriacos.

"Las versiones actuales del troyano Emotet incluyen la capacidad de instalar otro malware en las máquinas infectadas. Este malware puede incluir otros troyanos bancarios o servicios de entrega de malspam".

En enero de 2015, una nueva versión de Emotet apareció en escena. La versión tres contenía modificaciones sigilosas diseñadas para mantener el malware volando bajo el radar y añadía nuevos objetivos bancarios suizos.

Avance rápido hasta 2018: las nuevas versiones del troyano Emotet incluyen la capacidad de instalar otro malware en las máquinas infectadas. Este malware puede incluir otros troyanos y ransomware. Como ejemplo, un ataque de Emotet en julio de 2019 en Lake City, Florida, le costó a la ciudad 460,000 dólares en pagos de ransomware, según Gizmodo. Un análisis de la huelga encontró que Emotet sirvió solo como el vector de infección inicial. Una vez infectado, Emotet descargó otro troyano bancario conocido como TrickBot y el ransomware Ryuk.

Después de permanecer relativamente tranquilo durante la mayor parte de 2019, Emotet volvió con fuerza. En septiembre de 2019, Malwarebytes Labs informó sobre una campaña de spam impulsada por botnets dirigida a víctimas alemanas, polacas, italianas e inglesas con líneas de asunto astutamente redactadas como "Aviso de remesa de pago" y "Factura vencida". Al abrir el documento de Microsoft Word infectado se inicia una macro, que a su vez descarga Emotet desde sitios WordPress comprometidos.

¿A quién se dirige Emotet?

Todo el mundo es un objetivo para Emotet. Hasta la fecha, Emotet ha atacado a particulares, empresas y entidades gubernamentales de Estados Unidos y Europa, robando contraseñas bancarias, datos financieros e incluso monederos Bitcoin.

Un ataque notable de Emotet a la ciudad de Allentown, PA, requirió la ayuda directa del equipo de respuesta a incidentes de Microsoft para limpiarlo y, según se informa, costó a la ciudad más de 1 millón de dólares arreglarlo.

Ahora que Emotet se está utilizando para descargar y distribuir otros troyanos bancarios, la lista de objetivos es potencialmente aún más amplia. Las primeras versiones de Emotet se utilizaron para atacar a clientes bancarios en Alemania. Versiones posteriores de Emotet se dirigieron a organizaciones de Canadá, Reino Unido y Estados Unidos.

"Un ataque notable de Emotet a la ciudad de Allentown, PA, requirió la ayuda directa del equipo de respuesta a incidentes de Microsoft para limpiarlo y, según se informa, costó a la ciudad más de 1 millón de dólares arreglarlo".

¿Cómo puedo protegerme de Emotet?

Ya está dando el primer paso para protegerse a sí mismo y a sus usuarios de Emotet al aprender cómo funciona Emotet. Aquí tienes algunos pasos adicionales que puedes dar:

Mantenga actualizados sus equipos/puntos finales con los últimos parches para Microsoft Windows. TrickBot se entrega a menudo como una carga útil secundaria de Emotet, y sabemos que TrickBot se basa en la vulnerabilidad Windows EternalBlue para hacer su trabajo sucio, así que parchea esa vulnerabilidad antes de que los ciberdelincuentes puedan aprovecharse de ella.
No descargue archivos adjuntos sospechosos ni haga clic en enlaces sospechosos. Emotet no puede conseguir ese punto de apoyo inicial en su sistema o red si evita esos correos sospechosos. Dedique tiempo a educar a sus usuarios sobre cómo detectar el malspam.
Edúcate a ti mismo y a tus usuarios en la creación de contraseñas seguras. De paso, empieza a utilizar la autenticación de dos factores.
Puede protegerse a sí mismo y a sus usuarios de Emotet con un sólido programa de ciberseguridad que incluya protección multicapa. Los productospara empresas y consumidores de primera calidad de Malwarebytes detectan y bloquean Emotet en tiempo real.

¿Cómo puedo eliminar Emotet?

Si sospecha que ya ha sido infectado por Emotet, no se asuste. Si su ordenador está conectado a una red, aíslelo inmediatamente. Una vez aislado, proceda a parchear y limpiar el sistema infectado. Pero aún no ha terminado. Debido a la forma en que Emotet se propaga por la red, un ordenador limpio puede volver a infectarse al conectarse a una red infectada. Limpie uno a uno todos los ordenadores de su red. Es un proceso tedioso, pero las soluciones empresariales deMalwarebytes pueden facilitarlo, aislando y reparando los puntos finales infectados y ofreciendo una protección proactiva contra futuras infecciones de Emotet.

Si saber es la mitad de la batalla, diríjase a la página web Malwarebytes Labs y podrás aprender más sobre cómo Emotet evade la detección y cómo funciona el código de Emotet.