Blog

La Botnet de EMOTET reinicia ataques en Chile y LATAM

Resumen Ejecutivo

En enero de 2021 la botnet de Emotet, una de las ciberamenazas más importantes del mundo, fue desmantelada en un esfuerzo en conjunto de multiples países y fuerzas policiales, sin embargo, 10 meses despues y luego de que las autoridades realizaran una desinstalación masiva del malware a nivel mundial, Emotet vuelve a mostrar signos de vida y la reconstrucción progresiva de su botnet a través de uno de sus más fieles colaboradores como es Trickbot.

Según la gente de Advanced Intelligence el regreso de Emotet ha sido tramado por un ex miembro de Ryuk, ahora parte de la pandilla de Conti, con la finalidad de dar soporte a los próximos ataques de Ransomware.

Junto a lo anterior, hemos podido evidenciar que Emotet ya se encuentra enviando campañas masivas de phishing a países en Latinoamérica como Perú, México, Paraguay, Uruguay, Colombia, Panamá, Ecuador, Argentina, El Salvador y porsupuesto Chile, entre otros.

Esto también lo hemos podido confirmar con terceros como en este Tweet de TG Soft

Y en este análisis de Brad Duncan

Actualmente Emotet cuenta con dos infraestructuras independientes que son parte de la misma botnet, a estas infraestructuras se les llama Epoch, y su caracteristica principal es que permiten a la botnet desplegarse de forma modular y mantener el control en el caso de que alguna de estas caiga.

Epoch 4 y Epoch 5 son las que se encuentran activas y ambas han comenzado a enviar campañas masivas de phishing a Latinoamérica y múltiples países alrededor del mundo.

Al momento de escribir esta alerta, CronUp ha confirmado tres incidentes en Chile por infección con este Malware.

Es importante recordar que un compromiso por Emotet en la red corporativa puede derivar a un ataque de Ransomware.

Distribución del Malware

Emotet se distribuye a través de correos electrónicos, utilizando para ello miles de cuentas SMTP comprometidas y suplantando a contactos conocidos o de confianza. En campañas anteriores también hemos visto el secuestro o robo de cadenas de correos, algo que seguramente veremos también muy pronto.

En la actualidad, el correo malicioso trae un archivo adjunto protegido con contraseña, lo que dificulta el análisis automatizado de algunas herramientas de seguridad y que en conjunto a los servidores SMTP que utilizan (organizaciones válidas) permite a los atacantes tener una mayor tasa de éxito.

A continuación, un ejemplo del correo Phishing.

El archivo .ZIP trae un documento Microsoft Office en su interior, el que puede tener extensión .DOC, .DOCM o .XLSM entre otras. También se han visto casos donde el adjunto es directamente el documento de MS Office y en un pasado también lo hicieron con un link en el cuerpo del correo para la descarga del documento.

Al abrir el documento y habilitar la edición, se activa la macro y el proceso de infección del equipo. La imagen a continuación es una de las plantillas utilizadas actualmente pero pueden ser otras también.

La macro del documento ejecuta Powershell para realizar la descarga del payload final (DLL de Emotet) desde 1 de los 7 sitios distintos que vienen configurados en el documento Microsoft Office.

Al visitar una de estas URLs se puede apreciar la descarga de la DLL de Emotet.

En este punto, luego de registrar la DLL, Emotet ha logrado infectar y compromer efectivamente el equipo y agregarlo a la red de computadores zombie que forman parte de la Botnet.

Herramientas y recursos

1.- EmoCheck, es una herramienta para la detección de Emotet en sistemas operativos Windows que ha sido desarrollada por el CERT de Japón: https://github.com/JPCERTCC/EmoCheck

2.- HaveIBeenEMOTET, es un portal desarrollado por TG SOFT para detectar si un correo o dominio está en la base de datos de SPAM de Emotet: https://www.haveibeenemotet.com/

* Si, incluso Google ha sido víctima de Emotet.

3.- CyberChef, es una aplicación web para la encriptación, codificación, compresión y análisis de datos. Gracias a la información compartida por la gente de Cryptolaemus1 y Kostastsale hemos podido ajustar una nueva receta o «Recipe» que extrae las URLs de los documentos maliciosos (funcionando al 19-11-2021).

Utilizar desde tinyurl.com/EmotetURLs (solo debes dejar caer el documento en «Input»)

Indicadores de Compromiso

La mejor forma de protegerse frente a esta ciberamenaza es:

1.- Siguiendo al equipo de Cryptolaemus1 quienes estudian y exponen las nuevas técnicas, tácticas y procedimientos de estos atacantes.

2.- Actualizando regularmente las listas de bloqueo (C2) que disponibiliza Abuse.ch desde https://feodotracker.abuse.ch/browse/emotet/

El listado actual de servidores de comando y control activos es:

122.129.203.163
31.220.49.39
191.252.196.221
202.29.239.161
185.184.25.237
103.161.172.108
93.188.167.97
163.172.50.82
45.79.33.48
210.57.217.132
177.72.80.14
51.178.61.60
142.4.219.173
168.197.250.14

Referencias

Notas Finales

La imagen acontinuación corresponde a una alerta de seguridad enviada por la ABIF (Asociación de Bancos e Instituciones Financieras de Chile) el día 23 de Marzo de 2019 comunicando la desactivación temporal de todos los portales empresa de la banca, por el compromiso de algunos equipos internos con Emotet (para no olvidar).

Iremos actualizando este reporte a medida que se identifiquen cambios significativos en esta amenaza. Recuerden bloquear regularmente los nuevos C2 para mantenerse protegidos.

Threat Intelligence Team
CronUp Ciberseguridad

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad