Peligroso malware fue eliminado de todas las computadoras infectadas

Emotet, una de las redes de bots de spam de correo electrónico más peligrosas de la historia reciente fue eliminada definitivamente. Ayer, este peligroso malware fue desinstalado de todos los dispositivos infectados con la ayuda de un módulo entregado en enero por la policía.

La eliminación de la botnet es el resultado de una acción policial internacional. Esta operación permitió a los investigadores tomar el control de los servidores de Emotet e interrumpir el funcionamiento del malware.

Emotet fue utilizado por el grupo de amenazas TA542 (también conocido como Mummy Spider) para implementar payloads de malware de segunda etapa. Emotet fue ampliamente utilizado para desplegar otros tipos de malware en las computadoras comprometidas de sus víctimas como QBot y Trickbot,

Los ataques de TA542 generalmente conducían a un compromiso total de la red y al despliegue de payloads de ransomware en todos los sistemas infectados. Emotet permitía desplegar ransomware como ProLock o Egregor de Qbot, Ryuk y Conti de TrickBot.

Cómo funciona el desinstalador de Emotet

Después de la operación de eliminación, la policía impulsó una nueva configuración para las infecciones activas de Emotet. Esto para que el malware comenzara a usar servidores de comando y control controlados por Bundeskriminalamt, la agencia de la policía federal de Alemania.

Luego, la policía distribuyó un nuevo módulo Emotet llamado EmotetLoader.dll de 32 bits a todos los sistemas infectados. Este módulo desinstaló automáticamente el malware el 25 de abril de 2021.

Los investigadores de seguridad de Malwarebytes, Jérôme Segura y Hasherezade, examinaron más de cerca el módulo de desinstalación enviado por las agencias policiales.

Después de cambiar el reloj del sistema en una máquina de prueba para activar el módulo, descubrieron que solo elimina los servicios asociados de Windows. Este ejecuta automáticamente las claves del Registro y luego sale del proceso, dejando intacto todo lo demás en los dispositivos comprometidos.

“Para que este tipo de enfoque tenga éxito con el tiempo, será importante tener tantos ojos como sea posible en estas actualizaciones. Y, si es posible, las agencias policiales involucradas deberían publicar estas actualizaciones en Internet públicamente. Esto para que los expertos puedan asegurarse de que nada indeseado se esté introduciendo”.

“Dicho todo esto, vemos esta instancia específica como una situación única.   Alentamos a nuestros socios de la industria a ver esto como un evento aislado que requirió una solución especial. Esto no debe verse como una oportunidad para establecer políticas en el futuro”.

Marcin Kleczynski, director ejecutivo de Malwarebytes

La agencia de la policía federal alemana está detrás del módulo de desinstalación de Emotet

En enero, cuando la policía desactivó a Emotet, Europol dijo que la agencia policial alemana Bundeskriminalamt (BKA) era la responsable de dicha acción. Esta agencia fue la encargada de crear e impulsar el módulo de desinstalación.

“En el marco de las medidas procesales penales llevadas a cabo a nivel internacional, la Bundeskriminalamt ha dispuesto que el malware Emotet sea puesto en cuarentena en los sistemas informáticos afectados”.

Bundeskriminalamt

En un comunicado de prensa del 28 de enero, el Departamento de Justicia de Estados Unidos (DOJ) también confirmó esa información. El DOJ confirmó que el Bundeskriminalamt envió el módulo de desinstalación a las computadoras infectadas con Emotet.

“La policía extranjera, trabajando en colaboración con el FBI, reemplazó el malware Emotet en los servidores ubicados en su jurisdicción. Este fue reemplazado con un archivo creado por la policía”.

DOJ

El archivo no corrige otro malware que ya estaba instalado en la computadora infectada a través de Emotet. En cambio, este está diseñado para evitar que se instale malware adicional en la computadora infectada al desvincular la computadora víctima de la botnet.

Retraso en la eliminación de Emotet para recopilar más pruebas

La Bundeskriminalamt dijo en enero que la demora en la desinstalación fue para incautar pruebas y limpiar las máquinas del malware.

Es necesaria una identificación de los sistemas afectados para incautar pruebas y permitir a los usuarios interesados ​​llevar a cabo una limpieza completa del sistema. Esto para evitar nuevas infracciones. Para ello, los parámetros de comunicación del software se han ajustado de manera que los sistemas víctimas ya no se comuniquen con la infraestructura de los infractores. Ahora, las víctimas se comunican con una infraestructura creada para la incautación de pruebas. 

Bundeskriminalamt

En aquel momento, la agencia dijo que no podían proporcionar más información ya que las investigaciones aún estaban en curso.  

Hasta este momento, la agencia no ha dado mayor información con respecto a la operación de eliminación definitiva del malware.

El FBI también se negó a dar declaraciones cuando se le preguntó esta semana si la operación de eliminación de Emotet seguía en curso. Queríamos saber si la eliminación de Emotet de los dispositivos ubicados en los Estados Unidos todavía estaba planeada para el domingo 25 de abril.

A principios de este mes, el FBI coordinó una operación para eliminar las shells web de los servidores Microsoft Exchange estadounidenses comprometidos. En esa operación el objetivo era evitar la explotación de las vulnerabilidades de ProxyLogon sin notificar primero a los propietarios de los servidores.

El FBI dijo que solo eliminó las shells web. El FBI no aplicó actualizaciones de seguridad ni eliminó otro malware que los actores de amenazas pudieran haber implementado en los servidores.