La botnet Emotet más peligrosa del mundo acaba de ser desactivada
Agencias policiales de hasta ocho países desmantelaron la infraestructura de Emotet, un notorio malware para Windows basado en correo electrónico. este está detrás de varias campañas de spam impulsadas por botnets y ataques de ransomware durante la última década.
La eliminación coordinada de la botnet fue denominada “Operation Ladybird”. Este es el resultado de un esfuerzo conjunto entre las autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania. Estas naciones se unieron para tomar el control de los servidores utilizados para ejecutar y mantener la red de malware.
“La infraestructura de Emotet actuó esencialmente como un abridor de puerta principal para los sistemas informáticos a escala global”, dijo Europol. “Lo que hizo a Emotet tan peligrosa es que el malware se ofreció en alquiler a otros ciberdelincuentes para instalar otros tipos de malware. Por ejemplo, troyanos bancarios o ransomware en la computadora de la víctima”.
Más que un malware
Desde su identificación en 2014, Emotet evolucionó desde sus raíces iniciales como un ladrón de credenciales y un troyano bancario hasta una poderosa “navaja suiza”. Esta puede servir como descargador, ladrón de información y spam, según cómo se implemente.
Conocido por estar en constante desarrollo, el servicio de ciberdelincuencia se actualiza regularmente para mejorar el sigilo, la persistencia y agregar nuevas capacidades de espionaje. Esto a través de una amplia gama de módulos, incluido un difusor de Wi-Fi para identificar y comprometer a nuevas víctimas conectadas a redes Wi-Fi cercanas.
El año pasado, el malware se vinculó a varias campañas de spam impulsadas por botnets e incluso fue capaz de enviar payloads más peligrosos. Por ejemplo, TrickBot y el ransomware Ryuk alquilando su botnet de máquinas comprometidas a otros grupos de malware.
“El grupo Emotet logró llevar el correo electrónico como vector de ataque al siguiente nivel”, dijo Europol.
700 servidores de Emotet incautados
La Agencia Nacional del Crimen del Reino Unido (NCA) dijo que la operación tomó casi dos años para mapear la infraestructura de Emotet. Esta contaba con múltiples propiedades en la ciudad ucraniana de Kharkiv que fueron allanadas para confiscar equipos informáticos utilizados por los ciberdelincuentes.
El Departamento de Policía Cibernética de Ucrania también arrestó a dos personas presuntamente involucradas en el mantenimiento de la infraestructura de la botnet. Los detenidos enfrentarán 12 años de prisión si son declarados culpables.
“El análisis de las cuentas utilizadas por el grupo detrás Emotet demostró que $10.5 millones fueron movidos durante dos años. Esto lo hicieron en una única plataforma de moneda virtual. Casi $500.000 lo gastó el grupo durante el mismo período para mantener su infraestructura criminal”.
NCA
A nivel mundial, se dice que los daños relacionados con Emotet han costado alrededor de 2,500 millones de dólares, dijeron las autoridades ucranianas.
Con al menos 700 servidores operados por Emotet en todo el mundo, era la botnet más peligrosa del mundo. Actualmente los servidores han sido desactivados desde el interior. Las máquinas infectadas por el malware ahora están configuradas para ser dirigidas a la infraestructura policial, evitando así una mayor explotación.
Además, la Policía Nacional Holandesa ha lanzado una herramienta para verificar un posible compromiso. La herramienta está basada en un conjunto de datos que contiene 600,000 direcciones de correo electrónico, nombres de usuario y contraseñas. Esto datos se identificaron durante la operación.
Emotet se eliminará masivamente el 25 de abril de 2021
La policía holandesa, que incautó dos servidores centrales ubicados en el país, dijo que ha implementado una actualización de software. Esto para neutralizar la amenaza que representa Emotet de manera efectiva.
“Todos los sistemas informáticos infectados recuperarán automáticamente la actualización allí, después de lo cual la infección Emotet se pondrá en cuarentena”, dijo la agencia. Según un tweet de un investigador de seguridad que utiliza el identificador de Twitter milkream, se espera que Emotet se elimine el 25 de abril de 2021 a las 12:00 hora local de todas las máquinas comprometidas.
Dada la naturaleza de la operación de eliminación, queda por ver si Emotet puede regresar. Si lo hace, no sería la primera vez que una botnet sobrevive a importantes esfuerzos de eliminación.
Al momento de escribir el post, Feodo Tracker de Abuse.ch muestra que al menos 20 servidores Emotet todavía están en línea.
“Una combinación de herramientas de ciberseguridad actualizadas (antivirus y sistemas operativos) y conciencia de ciberseguridad es esencial para evitar ser víctima de botnets sofisticadas como Emotet”.
Europol
“Los usuarios deben revisar cuidadosamente su correo electrónico y evitar abrir mensajes y especialmente archivos adjuntos de remitentes desconocidos. Si un mensaje parece demasiado bueno para ser verdad, probablemente lo sea y los correos electrónicos que suplican un sentido de urgencia deben evitarse a toda costa.”