El troyano Emotet fue identificado por primera vez en 2014, su diseño original era como malware bancario que buscaba robar información confidencial y privada, posteriormente fue evolucionando hasta alcanzar las habilidades de envío de spam y descarga de otros malware.
Este troyano tiene habilidades para esconderse (polimorfismo) de productos anti-malware, además, cuenta con capacidades similares a las de un gusano, lo que hace que su propagación en la red no necesite intervención del usuario final, logrando así ser uno de los malware más costosos y destructivos.
Su principal vector de ataque es el correo electrónico (spam), dichos correos suelen parecer legítimos pues contienen imágenes de marcas conocidas, lo que hace que el usuario promedio se infecte sin darse cuenta.
Al ser polimórfico, los antivirus tradicionales no son capaces de establecer una firma que lo identifique, además, Emotet sabe si se está ejecutando dentro de una máquina virtual por lo que permanece inactivo durante el análisis del sandbox.
Para descargar actualizaciones o descargar algún otro componente, este malware utiliza servidores de C&C[1], los cuales también sirven como depósito de la información robada (credenciales financieras, usuarios y contraseñas, direcciones de correo electrónico, entre otros).
¿Cómo se propaga?
Su principal medio de distribución es a través de Spam, secuestra su cuenta de correo electrónico y se reenvía usando su lista de contactos, de esta manera parece ser legítimo y provoca una rápida infección.
Una vez que se ha hospedado en algún equipo comienza su trabajo de propagación ya sea por fuerza bruta o usando las vulnerabilidades EternalBlue/DoublePulsar, lo cual provoca infecciones descontroladas.
Emotet no tiene un objetivo específico, lo demuestra su abanico de sectores infectados (particulares, empresas y entidades gubernamentales).
¿Cómo me protejo?
Informarse es el primer paso para protegerse de este malware, sin embargo, existen algunos otros que pueden ayudar:
- Mantener los equipos siempre actualizados (parches de seguridad).
- No descargar archivos adjuntos sospechosos.
- Educar a los usuarios sobre cómo crear contraseñas seguras.
- Siempre que sea posible, usar el múltiple factor de autenticación.
- Usar soluciones de seguridad multicapa.
- Si no son indispensables, deshabilitar las macros en Microsoft Office.
- Monitorear constantemente la infraestructura para detectar oportunamente las infecciones.
- Desconfiar de cualquier correo que sea sospechoso, sin importar que vengan de contactos legítimos.
¿Cómo me puede proteger el departamento de TI?
El área de TI tiene la posibilidad de proteger toda la red utilizando una extensa lista de opciones de seguridad, entre las cuales se encuentran:
- Seguridad para el correo
- La Suite Hornetsecurity Advanced Threat Protection detecta fácilmente este troyano dentro de los archivos adjuntos del correo.
- ESET Mail Security ayuda a detener el Spam, phishing y otros tipos de malware.
- Forcepoint Email Security es una muy buena opción para proteger el flujo de correo electrónico.
- Seguridad en el Endpoint
- Malwarebytes Business Solutions puede identificar fácilmente un equipo infectado, lo aísla de la red antes de que se propague sin control.
- Seguridad en el Firewall
Si no se cuenta con una solución de las anteriormente mencionadas, el CERT de Japón[4] desarrolló una herramienta para detectar si alguna máquina está infectada. La versión más reciente es la 1.0.0, existen versiones para arquitecturas de 32 y 64 bits, y una vez que se ha ejecutado, la herramienta devuelve un archivo de texto con los resultados, a partir de ahí se pueden tomar acciones correctivas.