Alerta del riesgo de Emotet y TrickBot para bancos, transacciones financieras y seguridad nacional

82
Jorge Díaz Cardiel
Jorge Díaz Cardiel es Socio Director General de Advice Strategic Consultants.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EEUU (Homeland Security) lanzaron el 7 de octubre de 2020 una advertencia/alerta sobre un gran aumento en la actividad del troyano Emotet.

Históricamente, la red de bots de spam Emotet se ha relacionado con la distribución de troyanos bancarios, pero en estos días arroja spam cargado de malware y luego vende acceso a ordenadores infectados a cualquier grupo delictivo, incluidos los operadores de ransomware.

Microsoft, Italia y los Países Bajos advirtieron el mes de septiembre pasado sobre un aumento en la actividad de spam malicioso de Emotet, que se produjo unas semanas después de que Francia, Japón y Nueva Zelanda emitieran también sus alertas sobre el mismo troyano.

Emotet estuvo tranquilo después de febrero, pero regresó con fuerza en julio pasado. CISA describe Emotet como un “troyano sofisticado que normalmente funciona como descargador o lanzador de otro malware” y “una de las amenazas continuas más frecuentes”.

La evaluación de CISA es comprensible dado que se considera que Emotet es actualmente el botnet de malware más grande del mundo.

Desde agosto, CISA y el Centro de Análisis e Intercambio de Información de varios estados (MS-ISAC) han observado a los atacantes dirigidos a los gobiernos estatales y locales con correos electrónicos de phishing de Emotet.

Emotet se propaga con funciones similares a las de un gusano a través de archivos adjuntos de correo electrónico de phishing o enlaces que cargan un archivo adjunto de phishing. Después de abrirse, Emotet trabaja para extenderse por una red adivinando las credenciales de administrador y usándolas para escribir de forma remota en unidades compartidas, utilizando el protocolo de intercambio de archivos SMB, que le da al atacante la capacidad de moverse lateralmente a través de una red.

CISA dice que, desde julio, su sistema interno de detección de intrusiones Einstein para redes del poder ejecutivo federal -depende del presidente de EEUU, hoy, Donald Trump- y también para uso civil, ha detectado 16.000 alertas relacionadas con la actividad de Emotet.

Microsoft notó en septiembre que Emotet también estaba usando archivos adjuntos ZIP de correo electrónico protegidos con contraseña en lugar de documentos de Office, para evitar las puertas de enlace de seguridad del correo electrónico.

Las advertencias europeas de Emotet se produjeron después de que los investigadores vieran que el botnet soltaba Trickbot para entregar ransomware y Qakbot Trojan para robar credenciales bancarias.

Otra estratagema que utiliza Emotet actualmente es secuestrar hilos de correo electrónico. El grupo Emotet toma una cadena de correo electrónico existente -de un host infectado- y responde al hilo con un documento malicioso adicional adjunto.

Lo que hay detrás de todo ello…

Dentro de todas las amenazas que tenemos presentes en la red, en los últimos tiempos han sido muy populares TrickBot y Emotet. Son variedades de malware que tienen como objetivo poner en riesgo la seguridad y privacidad de los usuarios. Algo que destaca de ellos es que se actualizan constantemente para poder atacar a los usuarios. Buscan nuevas técnicas y eso hace que sea también más complicado de detectar y eliminar.

Según un grupo de investigadores de seguridad que han encontrado este problema, TrickBot y Emotet están utilizando textos relacionados con el coronavirus. ¿Qué consiguen con esto? Básicamente lo que logran es que los sistemas de seguridad puedan no detectar estas amenazas. Significa que pueden evitar que la inteligencia artificial o el aprendizaje automatizado les afecte.

Cuando realizan un ataque Phishing para introducir malware, los piratas informáticos buscan la manera de intentar evitar los antivirus y otras herramientas de seguridad. Buscan ocultar ese software malicioso para que no sea detectado. Ahora parece que lo están logrando gracias al coronavirus. Especialmente es útil para evitar la inteligencia artificial y aprendizaje automático de las herramientas de seguridad.

Se basan en textos de noticias relacionadas con el coronavirus. No es la primera vez que se aprovechan de algo que está muy presente en la sociedad en un momento dado, ya anteriormente utilizaron mensajes relacionados con el juicio político a Trump, por ejemplo.

Ahora están utilizando noticias relacionadas con el coronavirus como parte de la descripción del malware. De esta forma pueden eludir algunas herramientas de seguridad, como hemos indicado.

Hay que mencionar que el uso del coronavirus para realizar ataques no es ni mucho menos exclusivo de estas amenazas tan populares. Hemos visto en los últimos días cómo muchos ataques se basan en intentar colar información relacionada con esta pandemia para captar la atención de los usuarios.

En las últimas semanas se han llevado a cabo múltiples ataques phishing, ransomware y otras variedades de malware donde el foco de atención principal es el coronavirus. No hay dudas de que es algo que está en primera plana en todo el mundo. Los usuarios pueden recibir, por ejemplo, un archivo por correo electrónico con supuesta información sobre el coronavirus. Al abrirlo o descargarlo en realidad estarían ante un archivo malicioso que puede ser un simple Word, Excel o PDF.

Jorge Díaz Cardiel es Socio Director General de Advice Strategic Consultants

Artículo
Alerta del riesgo de Emotet y TrickBot para bancos, transacciones financieras y seguridad nacional
Nombre
Alerta del riesgo de Emotet y TrickBot para bancos, transacciones financieras y seguridad nacional
Descripcion
Jorge Díaz Cardiel, Socio Director General de Advice Strategic Consultants, explica el aviso realizado por Homeland Security (EEUU) y las Agencias de Información norteamericanas sobre el riesgo de Emotet y TrickBot para bancos, transacciones financieras y seguridad nacional.
Autor
Publico
Escudo Digital
Logo