Emotet, uno de los malwares más peligrosos de los últimos tiempos, ha regresado de nuevo, causando importantes incidentes de seguridad entre organizaciones y particulares de todo el mundo, a partir de las campañas de spam masivo que lanza el grupo de ciberdelincuentes que se encuentra detrás de estos ataques. ESET, empresa de ciberseguridad de la Unión Europea, ha advertido de un importante repunte en países como Estados Unidos, España, Alemania o Japón, en este inicio del año, después de unas aparentes vacaciones de Navidad, período en el que la incidencia del malware fue prácticamente nula.
Sin embargo, el 13 de enero se volvió a detectar un elevado número de correos electrónicos con asuntos variados – informes, facturas, mensajes de voz, datos bancarios, entre otros - y adjuntos en formato Word en 80 países diferentes, entre los que se encontraba España. De hecho, el pasado 14 de enero, el 19,85% del total de las detecciones de malware en España correspondían a Emotet, de acuerdo con los datos de Virus Radar.
Este malware suplanta identidades para robar y secuestrar información en los equipos infectados
“Una de las peculiaridades de Emotet con la que el grupo de ciberdelincuentes pretende dotar de veracidad al spam que envían de forma masiva es que se incorporan cadenas de conversaciones realizadas en emails previos y que captan desde equipos infectados”, advierte Josep Albors, responsable de concienciación e investigación de ESET España. “Tras el parón de incidencias de este malware en Navidades, Emotet ha vuelto con fuerza en enero, así que aconsejamos a todos los usuarios, tanto particulares como a empresas, tomar medidas para no verse afectados”.
Emotet, que se encuentra activo desde 2014, sueledescargarse desde una dirección web legítima que ha sido comprometida por losdelincuentes al abrir documentos maliciosos adjuntos a los emails. A partir deese momento, se inicia una segunda fase de ataque que consiste, en general, enla descarga de otro malware, siendo este en muchas ocasiones Trickbot (troyanoencargado de robar información) o incluso Ryuk (ransomware). Entre los miles deemails recibidos se ha detectado una campaña especialmente dirigida a 600direcciones de correo correspondientes a miembros de la ONU y que suplantan laidentidad de los representantes de Noruega ante la sede de las Naciones Unidasen Nueva York.
Además, conscientes de que estas plantillas decorreo pueden tener una fecha de caducidad conforme los usuarios se vayanacostumbrando a recibirlas y procedan a ignorar estos correos, los delincuentessiguen probando nuevas formas de convencer a los usuarios para que ejecuten susamenazas. Una de estas tácticas recientes consiste en imitar otra amenaza muyreconocida desde hace meses, como es la extorsión y, en el caso concreto deEspaña, en el uso del catalán en los mensajes enviados.
Desde la reactivación de la campaña de propagación de Emotet, tras las vacaciones del verano pasado, la tasa de detección de esta amenaza por parte de las soluciones de seguridad de ESET no ha dejado de crecer y, de hecho, los creadores de esta amenaza dejan mensajes dentro del código del malware, frustrados por lo difícil que resulta saltarse esa protección.
Para conocer cuáles son los indicadores de compromiso en las campañas activas de Emotet, ESET recomienda consultar la web https://paste.cryptolaemus.com, mientras que para conseguir información actualizada sobre las investigaciones acerca de esta amenaza en territorio español, se puede seguir el blog de Ontinet.com, responsable de la distribución de las soluciones de ESET en España https://blogs.protegerse.com/.