Gracias a la coordinación internacional de Europol y Eurojust, autoridades policiales y judiciales de todo el mundo han desarticulado la red de bots más importantes de la última década: EMOTET.
Esta operación es el resultado de un esfuerzo de colaboración entre las autoridades de los Países Bajos, Alemania, los Estados Unidos, el Reino Unido, Francia, Lituania, Canadá y Ucrania y se llevó a cabo en el marco de la Plataforma Multidisciplinar Europea contra las Amenazas Criminales (EMPACT).
EMOTET ha sido uno de los servicios de ciberdelincuencia más profesionales y duraderos que existen, según informa Europol en un comunicado.
La red establecía una puerta trasera en los sistemas informáticos a través de correos electrónicos de phishing automatizados
Según detalla la Agencia europea, la red de bots EMOTET establecía una puerta trasera en los sistemas informáticos a través de correos electrónicos de phishing automatizados que distribuían documentos de Word infectados por malware.
Descubierto por primera vez como un troyano bancario en 2014, el malware evolucionó hasta convertirse en la solución de referencia para los ciberdelincuentes. A lo largo de los años ha sido utilizado por estos para implementar otras actividades ilícitas, como el robo de datos y la extorsión a través de ransomware.
EMOTET logró llevar el correo electrónico como vector de ataque a un siguiente nivel. A través de un proceso totalmente automatizado, el malware EMOTET fue introducido en los ordenadores de las víctimas a través de archivos adjuntos de correo electrónico infectados.
Las campañas de correo electrónico de EMOTET también se han presentado como facturas, avisos de envío e información sobre COVID-19
Diferentes señuelos se utilizaron para engañar a los desprevenidos usuarios y que abrieran estos archivos adjuntos maliciosos. Las campañas de correo electrónico de EMOTET también se han presentado como facturas, avisos de envío e información sobre COVID-19, por poner algún ejemplo.
Todos estos correos electrónicos contenían documentos maliciosos de Word, ya fueran como documentos adjuntos o como descargables haciendo clic en un enlace. Una vez que el usuario abría uno de estos documentos, el código malicioso oculto se ejecutaba e instalaba el malware EMOTET en su ordenador.
Mucho más que un programa maligno
Lo que convirtió a EMOTET en tan peligroso fue que se ofreció en alquiler a otros delincuentes para instalar otros tipos de malware, tales como troyanos bancarios o ransomwares, en los ordenadores de sus respectivas víctimas.
Este tipo de ataque se denomina operación «cargador», y se dice que EMOTET es uno de los principales actores en el mundo del ciberdelito, ya que otros operadores de malware como TrickBot y Ryuk se han beneficiado de él.
Su forma única de infectar redes, al propagar la amenaza lateralmente después de obtener acceso a solo unos pocos dispositivos en la red, lo convirtió en uno de los programas maliciosos más resistentes.
Este tipo de ataque se denomina operación «cargador», y se dice que EMOTET es uno de los principales actores en el mundo del ciberdelito
Interrupción de la infraestructura
La infraestructura que fue utilizada por la red de bots de EMOTET involucró a varios cientos de servidores ubicados en todo el mundo. Todos ellos con diferentes funcionalidades para administrar las computadoras de las víctimas infectadas, propagarse a otras nuevas, servir a otros grupos criminales y, en última instancia, hacer la red más resistente contra los intentos de eliminación.
Para interrumpir de manera eficaz la infraestructura de EMOTET, se creó una estrategia operativa eficaz y las autoridades policiales y judiciales obtuvieron el control de la infraestructura y la derribaron desde dentro. Se sirvieron de las propias máquinas infectadas de las víctimas y redirigiéndolas, de manera controlada, hacia la infraestructura criminal.
Este nuevo proceder ha resultado de un enfoque nuevo y único para interrumpir de manera efectiva las actividades de los facilitadores del ciberdelito.
Este nuevo proceder es un enfoque nuevo y único para interrumpir, de manera efectiva, las actividades de los facilitadores del ciberdelito
Cómo protegerse de los “cargadores”
Muchas botnets como EMOTET son de naturaleza polimórfica. Esto significa que el malware cambia su código cada vez que se llama. Dado que muchos programas antivirus escanean la computadora en busca de códigos de malware conocidos, un cambio de código puede causar dificultades para su detección, permitiendo que la infección no sea detectada inicialmente.
Una combinación de herramientas de ciberseguridad actualizadas (antivirus y sistemas operativos) y una conciencia de ciberseguridad son esenciales para evitar ser víctima de botnets sofisticadas como EMOTET.
Los usuarios deben revisar cuidadosamente su correo electrónico y evitar abrir mensajes y especialmente archivos adjuntos de remitentes desconocidos.
Los mensajes que parecen demasiado buenos para ser verdad o imploran un sentido de urgencia deben evitarse a toda costa.
Como parte de la investigación criminal realizada por la Policía Nacional Holandesa sobre EMOTET, se descubrió una base de datos que contiene direcciones de correo electrónico, nombres de usuario y contraseñas robadas por EMOTET.
Puede comprobar si su dirección de correo electrónico se ha visto comprometida. Como parte de la estrategia global de remediación, con el fin de iniciar la notificación de los afectados y la limpieza de los sistemas, se distribuyó información a nivel mundial a través de la red de los denominados Equipos de Respuesta a Emergencias Informáticas (CERT).
FUENTE: Europol
ARTÍCULOS RELACIONADOS
