¿Que es EMOTET?
EMOTET (también conocido como Heodo o Geodo) tuvo aparición en el año 2014 cuando fue catalogado como troyano bancario, sin embargo, con el tiempo ha adquirido nuevas y robustas capacidad de botnet, al punto de convertirse en un verdadero CDN (Content Delivery Network) capaz de instalar otras amenazas en el equipo o red víctima, lo que se conoce como "loader". Hoy en día EMOTET pone en jaque a las empresas del mundo al incluir en sus ataques técnicas avanzadas de ingeniería social y mecanismos para evitar la inteligencia artificial y el aprendizaje automático.
Módulos de EMOTET
Desde su introducción, esta amenaza ha utilizado varios módulos:
Main module: Descarga otros módulos desde un servidor de comando y control.
Spam module: El módulo de spam facilita la propagación continua de la botnet de Emotet al enviar correos electrónicos con enlaces o archivos adjuntos que conducen a la descarga de la amenaza. La distribución se realiza utilizando las cuentas de correo previamente recopiladas, que se envían a cada spambot" desde el C&C.
Credential stealing: Roba credenciales de navegadores web y clientes de correo, utilizando las herramientas de NirSoft Mail PassView y WebBrowser PassView.
Spreader module: Enumera los recursos de la red para intentar propagarse hacia otras máquinas, también se generan ataque de fuerza bruta intentando contraseñas de una lista codificada en el código de EMOTET. Por cada inicio de sesión exitoso, se copia un archivo en la nueva carpeta de red y se configura un servicio en el sistema remoto para ejecutar el archivo.
Email harvesting: Extrae el contenido del correo electrónico de las máquinas infectadas a los C&C. Los componentes específicos del correo electrónico incluyen el asunto, el cuerpo, el nombre del remitente y el receptor, junto con su dirección de correo electrónico correspondiente. Esta información solo se recopila para correos electrónicos enviados / recibidos en los últimos 180 días.
Address book stealer: Extrae la lista de direcciones desde la libreta de contactos para cada perfil almacenado en el equipo.
DDoS module: Permite generar ataques distribuidos de denegación de servicios a los servidores que se especifiquen (NO operativo).
Banking module: Permite el robo de credenciales bancarias (NO operativo).
Distribución de EMOTET
EMOTET se distribuye a través de campañas de spam, con correos Phishing que llaman a la acción del receptor y que contienen o un archivo adjunto o un enlace para la descarga de un archivo que finalmente realiza la instalación de la amenaza.
Según los archivos adjuntos, se han visto de los siguientes tipos:
Documentos de Microsoft Word con macros.
PDF con enlaces a documentos de Microsoft Word con macros.
PDF con enlaces a archivos ZIP con archivos JS.
Archivos ZIP protegidos con contraseña que contienen archivos JS.
Archivos ZIP protegidos con contraseña que contienen archivos de Microsoft Word.
Según los enlaces de los correos, se han visto de los siguientes tipos:
URL que redireccionan a documentos de Microsoft Word con macros.
URL que redireccionan a documentos comprimidos de Microsoft Word con macros.
URL que redireccionan a un archivo JS.
URL que redireccionan a un archivo JS comprimido.
Lo más comun es recibir un documento Microsoft Word como el siguiente, que al habilitar la edición, la amenaza se ejecuta e inicia el flujo de infección.
A continuación, algunos ejemplos de los correos Phishing enviados en estas campañas.
Flujo de Infección de EMOTET
La siguiente secuencia representa el flujo de infección tradicional.
Objetivos Geográficos de EMOTET
Según múltiples fuentes y reportes de investigadores y empresas de Ciberseguridad, EMOTET ha estado presente en múltiples países desde su fecha de descubrimiento entre ellos Estados Unidos, Canadá, Alemania, Suiza, Taiwan, Hong Kong, China, Japón, Polonia, Reino Unido y Australia. A nivel latinoamericano esta presente en Chile, Argentina, Brasil, Uruguay, Paraguay, Bolivia, Perú, Colombia, Ecuador, Costa Rica, El Salvador, Guatemala, República Dominicana y México.
¿El fin de Emotet?
El día 27 de enero del 2021, La Agencia de la Unión Europea para la Cooperación en materia de Aplicación de la Ley (Europol) ha lanzado un comunicado en su sitio web oficial de una operación para comprometer las operaciones de EMOTET. Esta operación es el resultado de un esfuerzo de colaboración entre autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, con una actividad internacional coordinada por Europol y Eurojust. Esta operación se llevó a cabo en el marco de la Plataforma Multidisciplinar Europea Contra las Amenazas Criminales.
Para interrumpir la infraestructura de EMOTET, las fuerzas del orden se unieron para crear una estrategia operativa eficaz. El resultado fue la acción de esta semana mediante la cual las autoridades policiales y judiciales obtuvieron el control de la infraestructura y la derribaron desde adentro.
Las máquinas infectadas de las víctimas se han redirigido hacia esta infraestructura controlada por las fuerzas del orden. Este es un enfoque nuevo y único para interrumpir las actividades de los facilitadores del ciberdelito.
En el presente vídeo se puede ver el operativo llevado en algunos lugares de Ucrania contra la red de Emotet.
Indicadores de Compromiso
CVE usados por EMOTET
CVE-2014–1761
CVE-2017–0199
CVE-2017–0199
CVE-2018–8430
CVE-2018–0792
Recomendaciones de seguridad
Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
Manténgase informado de las últimas amenazas y riesgos en Internet.
Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).