Emotet, más de 5 años infectando sistemas

Avatar

Cada semana las noticias sobre seguridad abren con un titular similar, “Cierta organización, ayuntamiento, asociación, etc. afectada por un ransomware”, como pueden ser Ryuk o iEncrypt, pero siempre van acompañados de Emotet, que sin ser un ransomware está presente en muchos ataques recientes.

emotet

¿Qué es Emotet?

Cuando se descubrieron sus primeras infecciones en 2014, las cuales afectaron a centro-Europa, Emotet fue clasificado como troyano bancario. Actualmente ha evolucionado tanto, con diferentes módulos, cada uno con una función concreta, que ha perdido su sobrenombre “bancario”. Actualmente ha incluido funciones como el envío de spam u otros archivos, como diferentes troyanos o ransomware para acabar cifrando el dispositivo, técnica utilizada actualmente junto con Ryuk y otras versiones de ransomware.

Ha sufrido tantas modificaciones y ha sido utilizado por diferentes actores en campañas que sus vectores de entrada son muy variados. En sus inicios se incluía una URL en el cuerpo del correo que descargaba un archivo JavaScript malicioso. Posteriormente se ocultaba en falsas facturas, normalmente en formato PDF. Actualmente su forma más habitual es en archivos Word a través de la función Macros de estos. Las vulnerabilidades que explota también han ido cambiando con el tiempo, empezando por EthernalBlue (CVE-2017-0144) al igual que WannaCry, para acabar explotando la vulnerabilidad BlueKeep (CVE-2019-0708).

¿Como puede ser que después de 5 años siga trayendo de cabeza a organizaciones de todo el mundo? Emotet está catalogado como polimórfico, esto quiere decir que es capaz de cambiar por sí mismo cada vez que es descargado, de esta forma evita la detección mediante firmas. Otra medida que toma para no caer en “saco roto” es la detección de máquinas virtuales y sandboxes. Si detecta alguno de estos no se ejecutará.  Esto lo hace mediante varios métodos: comprobando el nombre del equipo, tamaño del disco o incluso analizando la actividad del usuario. Esto más un cifrado AES y métodos de ofuscación de código han provocado que sea una tarea muy complicada su análisis para los expertos.

¿Cómo se replica?

Uno de los métodos más comunes utilizados por Emotet son campañas muy agresivas, algunas más especializadas y preparadas que otras, de envío masivo de phishing o también llamado “Spear Phishing”. Pero no se queda ahí. Una vez comprometido un equipo, accede a su libreta de contactos a través del correo electrónico reenviando el malware a todos tus contactos, generando así un envío que pueda parecer legítimo y engañar a un número más elevado de víctimas.

¿Cómo persiste? 

Emotet genera persistencia principalmente de dos formas. Primeramente, se copia en la ruta “C:\Users\admin\AppData\Local\msptermsizes\msptermsizes.exe” y mediante la clave de registro   “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” la cual ejecutará en cada arranque el archivo copiado en “\AppData\Local\”. Posteriormente, elimina el primer ejecutable para crear dos subprocesos, los cuales realizan todas las tareas para las que ha sido diseñado Emotet.

¿Emotet solo o acompañado?

Si bien en sus inicios Emotet aparecía solo, sin ningún otro malware, pero recientemente se han detectado diferentes malware asociados. En un primer caso se detectó Trickbot, otro malware bancario para tener disponible una posible “segunda carga” maliciosa. Más recientemente se ha visto a Emotet acompañado de ransomware variados, buscando un fin mucho más destructivo que el robo de credenciales, bancarias o no. En diferentes ocasiones y por diferentes actores, se ha visto utilizar Emotet simplemente para descargar la carga útil de un ransomware, sin buscar el robo de credenciales y teniendo como único objetivo el cifrado de datos. Los más conocidos son Ryuk o iEncrypt, habiendo afectado recientemente a varias empresas españolas siendo casos sonados mediáticamente.

¿Qué medidas puedo tomar?

Las medidas para evitar este tipo de malware son muy sencillas. ¡Antes de nada, ACTUALIZAR! Las vulnerabilidades que principalmente explota son vulnerabilidades públicas con varios meses de antigüedad, las cuales se encuentran parcheadas y simplemente actualizando se pueden evitar.

El sentido común. Muchas veces, por prisa, cansancio o simplemente confianza abrimos y descargamos archivos de correos electrónicos sin contemplaciones.
Antes de nada, debemos ver el remitente ¿es conocido? ¿de qué dominio procede? ¿está escrito en dudoso castellano? En el caso de que todo corresponda y sea un dominio conocido ¿estoy esperando algún correo con archivos adjuntos de ese trabajador o amigo? Muchas veces una llamada o un mensaje que apenas nos va a retrasar aclara muchas dudas sobre si esta persona nos ha enviado ese correo.

Recordad que más vale ser precavido que no acabar con nuestro trabajo de mucho tiempo cifrado.

Si quieres más información sobre esta vulnerabilidad u otros riesgos, no dudes en contactar con nosotros.

Autor: Miguel Carrillo

Leave a Comment

dockers_aquaprevencion-incidente-ciberseguridad