En enero de 2021, los profesionales cibernéticos se regocijaron cuando una operación encubierta global de las agencias policiales desmanteló la botnet Emotet para siempre.
El derribo se celebró como un ejemplo del poder de la colaboración frente a las amenazas a la seguridad global y tuvo un impacto inmediato en el ciberdelincuente clandestino.
Pero en los últimos días, han surgido señales alarmantes de que Emotet está nuevamente en funcionamiento, lo que ha provocado temores de una nueva campaña de actividad maliciosa. Entonces, ¿qué ha pasado? ¿Y qué tan preocupados deberían estar los defensores?
Emotet comenzó como un troyano bancario relativamente común en 2014, pero a lo largo de los años intermedios fue desarrollado y refinado por sus creadores en una botnet altamente sofisticada utilizada como mecanismo de entrega, un cargador en el lenguaje cibernético, para otros desagradables como malware y ransomware.
A fines de 2020, Emotet se había convertido en una parte clave de la economía del ciberdelito como servicio, alquilada a actores malintencionados como un medio de acceder a objetivos para robar y rescatar datos.
El equipo de ransomware de Ryuk fue uno de los clientes más confiables de Emotet, entre muchos otros, y más en este enlace más adelante.
En la cima de su actividad, Emotet era una amenaza altamente efectiva y peligrosa, y sus operadores se consideraban maestros en técnicas de ingeniería social, como los correos electrónicos de spear phishing a medida, utilizados para alentar a los objetivos a infectarse a sí mismos.
No tan rapido
Por lo tanto, su derribo de enero se celebró con razón, pero incluso en ese momento, muchos expertos en seguridad moderaron su entusiasmo y dijeron que era probable que Emotet eventualmente resurgiera de alguna forma.
Entre ellos se encontraba Kimberly Goody de Mandiant, quien dijo en ese momento que era probable que algunas de las operaciones asociadas de Emotet, como Trickbot, Qakbot y Silentnight, pudieran aprovecharse para reconstruir la botnet.
Algo de esta naturaleza parece haber sucedido ahora. Los primeros signos de que Emotet estaba resurgiendo comenzaron a aparecer en la noche del 14 de noviembre, cuando los analistas de seguridad de GData encontraron evidencia de sus rastreadores Trickbot de que el bot estaba tratando de descargar una biblioteca de enlaces dinámicos (DLL) al sistema. El análisis posterior reveló que los archivos DLL eran Emotet y, a la mañana siguiente, cuando otros confirmaron el enlace, la noticia se estaba extendiendo rápidamente.
Según conversaciones entre Lawrence Abrams de Computadora que suena, quien fue uno de los primeros en informar sobre el surgimiento de Emotet, y los investigadores de seguridad, los operadores de la botnet parecen haberlo estado reconstruyendo utilizando la infraestructura que pertenece a Trickbot, como teorizó Goody en Mandiant, y probablemente presagia un aumento de la actividad, particularmente entre el ransomware. operadores, muchos de los cuales se han encontrado últimamente a la defensiva.
La momia y el mago
El vicepresidente senior de inteligencia de Crowdstrike, Adam Meyers, dijo que el resurgimiento de la botnet, que atribuyó a la fuerte relación previa entre Emotet y los operadores de Trickbot (que Crowdstrike rastrea como Mummy Spider y Wizard Spider respectivamente) era una señal de “cuán resistente el medio de la delincuencia electrónica se ha convertido ”.
Meyers sugirió que era posible que Wizard Spider se hubiera hecho cargo de Emotet de alguna forma. Tenga en cuenta, por cierto, que Wizard Spider también cuenta los ransomwares Ryuk y Conti en su arsenal.
El director de inteligencia de amenazas de Radware, Pascal Geenens, dijo que era probable que Emotet estuviera trabajando con Trickbot para ganar terreno rápidamente, hasta un punto en el que pueda reanudar el crecimiento autosostenido, y sugirió que era solo cuestión de tiempo antes de que esto sucediera.
“Dada la cantidad de campañas de extorsión exitosas y los enormes pagos que involucran ransomware en la historia reciente, debería haber mucha demanda de plataformas de malware como servicio por parte de los operadores de ransomware”, dijo Geenens.
“El momento es tan bueno como cualquier otro para volver al negocio para los actores que pudieron mantener una de las plataformas de malware más grandes y prolíficas en la historia de los delitos cibernéticos”.
Stefano De Blasi de Digital Shadows dijo que era probable que Emotet se sintiera entusiasmado. “Muchos grupos de delincuentes cibernéticos pueden volver a Emotet como un enfoque probado y comprobado, aunque estos cambios probablemente se reflejarán durante varios meses”, dijo.
“Indudablemente llevará algún tiempo reconstruir la infraestructura de Emotet, sin embargo, su enorme reputación en la comunidad del cibercriminal lo convierte en una opción predecible para muchos actores de amenazas que buscan expandir sus operaciones”.
¿Qué sigue?
Emotet puede estar de regreso, pero al momento de escribir este artículo su impacto parece ser todavía algo limitado, aunque ya hay indicadores de que se está utilizando en campañas de spam.
“Para protegerse a sí mismas, realmente depende de las organizaciones asegurarse de identificar los hosts comprometidos rápidamente y corregirlos”, dijo Meyers de Crowdstrike.
“Según nuestra investigación sobre el tiempo de ruptura, es decir, el tiempo que tarda un adversario en moverse lateralmente dentro de un entorno de víctima, los equipos de seguridad deben detectar amenazas en promedio en un minuto, comprenderlas en 10 minutos y contenerlas en 60 minutos para ser efectivos para detener las infracciones “.
Por ahora, dijo Jen Ellis, vicepresidenta de asuntos comunitarios y públicos de Rapid7, hay pocas cosas fuera de lo común que los defensores deben hacer.
“A partir de la información disponible, parece que a pesar de que todavía se encuentran en las primeras etapas de reconstrucción de su red, Emotet ya está enviando spam”, dijo. “Esto parece indicar que podemos esperar que los controladores de Emotet reanuden sus operaciones de manera muy similar a como lo hicieron antes del derribo en enero.
“Desde entonces, sin embargo, hemos visto a las fuerzas del orden y al sector privado trabajar más estrechamente en otras acciones unificadas para disuadir y desorganizar a los grupos de atacantes. Estarán observando este desarrollo de cerca y sospecho que ya estarán considerando acciones potenciales para evitar que Emotet regrese a la supremacía que una vez disfrutó.
“Mientras tanto, los profesionales de la seguridad siguen funcionando como siempre”, dijo Ellis. “El nombre Emotet puede infundir miedo en sus corazones, pero la realidad es que están bajo ataque todos los días y todas las mismas medidas necesarias para defenderse de esos ataques son las mismas para Emotet. El parcheo oportuno, las estrategias efectivas de administración de identidades y accesos, la segmentación de la red, las copias de seguridad regulares fuera de línea, el filtrado de correo electrónico y el conocimiento del usuario son componentes centrales de una estrategia de defensa en profundidad y resiliencia empresarial “.
El investigador de Appgate Felipe Duarte Domingues tuvo un consejo similar para los defensores. “Los gerentes de TI y los equipos de seguridad cibernética deben administrar esta nueva versión de Emotet como cualquier otra amenaza de malware, implementando medidas de seguridad razonables y capacitando a los empleados contra ataques de ingeniería social como correos electrónicos y phishing”, dijo.
“Es importante notar que esas nuevas capacidades muestran que los actores se están enfocando en ejecutar otro malware junto con Emotet. Las redes de bots como Trickbot se utilizan a menudo para propagarse y moverse lateralmente en una red, e incluso implementar ransomware.
“Adoptar un modelo de confianza cero es importante para cualquier organización que quiera estar protegida contra Emotet o cualquier otra botnet [or] amenaza de ransomware. Suponiendo que todas las conexiones pueden verse comprometidas y segmentando su red, puede limitar los sistemas afectados y las acciones de amenazas a un solo perímetro, y aumentar la posibilidad de detectar comportamientos maliciosos dentro de su red “.
Respuesta rápida
Por el lado positivo, Doug Britton, director ejecutivo de Haystack Solutions, una empresa de servicios de seguridad con sede en EE. UU., Dijo que puede ser una señal positiva que Emotet haya sido detectado e identificado tan rápidamente.
“Emotet es una pieza de malware omnipresente e indica el reciclaje y la evolución de las técnicas de entrega de malware”, dijo. “Es muy interesante ver esto en una entrada temprana en la reestructuración y reconstrucción de Emotet y su infraestructura de spam de bots.
“Es prometedor escuchar que los investigadores han identificado esto de manera proactiva. Los profesionales cibernéticos son fundamentales en la lucha contra la amenaza persistente del malware en evolución. Como podemos ver, los delincuentes están desarrollando las canalizaciones para distribuir malware a gran escala “.