Emotet es un malware muy sofisticado y destructivo que está causando enormes problemas a organizaciones de todo el mundo.
El malware Emotet apareció por primera vez en 2014 como un troyano bancario diseñado para robar credenciales bancarias y otros datos sensibles. Sin embargo, en los últimos 5 años, el malware ha evolucionado rápidamente hasta convertirse en una de las ciberamenazas más peligrosas del mundo.
Según una alerta de Seguridad Nacional de los Estados Unidos publicada en 2018, "Emotet sigue estando entre el malware más costoso y destructivo que afecta a los gobiernos estatales, locales, tribales y territoriales (SLTT), y a los sectores público y privado. Es difícil de combatir y las infecciones de Emotet han costado a los gobiernos de SLTT hasta un millón de dólares por incidente para remediarlo."
¿Por qué es tan peligroso el malware Emotet?
El malware Emotet utiliza sus capacidades de gusano para propagarse rápidamente a otros ordenadores conectados en una red. Esto significa que la infección puede propagarse como un fuego salvaje a través de una organización sin ninguna interacción del usuario.
También ha adquirido nuevas funcionalidades que lo hacen aún más amenazante. Emotet puede añadir una máquina infectada a una red de bots para realizar ataques DDoS o puede mezclarse con otras formas de ransomware para lograr la máxima destrucción.
El malware es extremadamente versátil y está siendo adoptado por muchos grupos cibernéticos debido a su comportamiento polimórfico. Puede cambiarse a sí mismo cada vez que se descarga para evadir la detección de antivirus basada en firmas.
Ha habido un pico masivo de ataques de Emotet en todo el mundo, y en febrero de 2018, la ciudad de Allentown, Pensilvania, fue puesta de rodillas cuando fue atacada con el malware autorreplicante.
Algunos de los sistemas financieros y públicos de la ciudad tuvieron que ser cerrados y se cree que el ataque costó a la ciudad alrededor de un millón de dólares en daños.
¿Cómo infecta el malware Emotet las máquinas y se propaga?
La mayoría de las infecciones de Emotet comienzan con un simple correo electrónico de phishing. El correo electrónico puede parecer provenir de una fuente legítima con la marca y los logotipos oficiales de una empresa conocida. Como en todos los correos electrónicos de phishing, el objetivo final es presionar al destinatario para que haga clic en un enlace malicioso o descargue un archivo adjunto.
En cuanto el destinatario haga clic en el enlace o abra un archivo, estará habilitando involuntariamente las macros que inician el proceso de infección. En cuanto el dispositivo esté infectado, Emotet empezará a intentar propagarse a otros dispositivos de la red.
El malware Emotet escaneará las listas de contactos y empezará a bombardear a todas las personas de la lista con correos electrónicos maliciosos. Como el correo electrónico parece provenir de una fuente de confianza, los usuarios estarán más inclinados a hacer clic en los enlaces que lo acompañan o a abrir un archivo adjunto.
Si hay una red conectada, Emotet intentará propagarse utilizando un ataque de fuerza bruta. Probará diferentes combinaciones de nombres de usuario y contraseñas para ver si puede acceder a la red de esta manera.
Otra forma de propagación de Emotet es mediante la explotación de las vulnerabilidades Eternal Blue/Double Pulsar. Estas son las mismas vulnerabilidades que fueron explotadas en los infames ataques WannaCry y NotPetya que causaron enormes trastornos a nivel mundial.
¿Qué se puede hacer para prevenir la infección por Emotet?
- Mantén tu software actualizado con los últimos parches de seguridad de Microsoft: el malware Emotet suele aprovecharse de la vulnerabilidad Eternal Blue de Windows. La aplicación de parches con regularidad corregirá las vulnerabilidades de seguridad, eliminará las funciones obsoletas y actualizará los controladores.
- Siga las buenas prácticas de seguridad para minimizar el riesgo de infección: evite hacer clic en enlaces o descargar archivos adjuntos de fuentes desconocidas. Las señales de alarma pueden ser: un saludo genérico, una gramática pobre, un lenguaje amenazante, una URL que no coincide, errores ortográficos, reclamaciones de premios o una solicitud de información sensible como el nombre de usuario o la contraseña.
- Formación en ciberseguridad: las infecciones de emotet dependen en gran medida de que el usuario abra un correo electrónico de phishing. Para garantizar que los empleados puedan reconocer eficazmente estas amenazas, es vital que reciban una formación periódica de concienciación sobre ciberseguridad. La formación ayudará al personal a defender su organización y a reducir la probabilidad de que las redes se infecten con Emotet.
- Utilice un software antivirus: el malware Emotet ha conseguido evitar la detección de muchos tipos de soluciones de software antivirus. Sin embargo, sigue siendo vital invertir en una solución antivirus de confianza que utilice tecnología de bloqueo de comportamiento además de protección basada en firmas.
- Crear una contraseña fuerte y compleja: una contraseña fuerte debe tener entre 8 y 15 caracteres, una mezcla de letras mayúsculas y minúsculas e incluir números o símbolos. Una frase de contraseña también puede servir para memorizar contraseñas más largas y complejas. Para que la frase de contraseña sea segura Utiliza una frase fácil de recordar pero aleatoria, añade espacios, sustituye las letras por números y añade caracteres adicionales para hacerla aún más segura.
- Utilice la autenticación de dos factores (2FA): la autenticación de dos factores añade una capa adicional de seguridad al proceso de autenticación, dificultando el acceso de un hacker al dispositivo de una persona. Además de una contraseña, la autenticación de dos factores requiere un segundo dato para confirmar la identidad del usuario.
- Banner de correo electrónico externo - Utilice un banner de correo electrónico para notificar a los empleados que un correo electrónico proviene de una fuente externa.
- Bloquee los archivos y archivos adjuntos dudosos: considere la posibilidad de bloquear los archivos adjuntos que suelen asociarse a programas maliciosos, como .dll y .exe, y los archivos adjuntos que no pueden ser analizados por el software antivirus, como los archivos .zip.
Cómo eliminar el malware Emotet de un dispositivo infectado
Como hemos visto anteriormente, el malware Emotet puede propagarse rápidamente a otros ordenadores conectados a la red a menos que se contenga y erradique lo antes posible. Si cree que su dispositivo o red ha sido comprometido por Emotet, debe tomar inmediatamente los siguientes pasos:
- Ejecute un análisis antivirus en el sistema y tome medidas para aislar los ordenadores infectados en función de los resultados.
- Identifique, apague y retire de la red cualquier ordenador infectado.
- Considere la posibilidad de desconectar temporalmente la red para detener la propagación del malware.
- Identificar la fuente de infección.
- Limpie cada ordenador uno por uno para evitar que se vuelva a infectar.
- Cambie y actualice las contraseñas de las credenciales locales y de dominio.
El phishing es la causa número uno de todos los ciberataques y sigue siendo una de las formas más fáciles de robar datos valiosos y entregar ransomware. MetaPhish ha sido creado para proporcionar una poderosa defensa contra estas amenazas y permite a las organizaciones averiguar lo susceptible que es su empresa al phishing. Póngase en contacto con nosotros para obtener más información sobre cómo puede utilizar MetaPhish para proteger su empresa.
