Emotet siguió siendo el malware más extendido observado en septiembre por tercer mes consecutivo, afectando al 14% de las organizaciones en todo el mundo, luego de volver a estar en línea durante el verano luego de una de sus interrupciones habituales, según los datos compilados del servicio de monitoreo ThreatCloud de Check Point.
El altamente peligroso malware Emotet nació como un troyano bancario, pero ahora se utiliza más para distribuir otros programas maliciosos o campañas maliciosas. Tiene varias herramientas en su kit que le permiten mantener la persistencia en los sistemas de las víctimas y escapar de la detección y, por lo general, se propaga a través de enlaces maliciosos en correos electrónicos de phishing. Una vez que se hace clic en los enlaces, se inicia la carga útil de Emotet y luego el malware intenta proliferar en la red mediante credenciales de fuerza bruta y escribiendo en unidades compartidas: estas características similares a gusanos hacen que sea bastante difícil de combatir.
Check Point descubrió que el siguiente malware más extendido en septiembre fue el troyano bancario Trickbot, que se actualizó recientemente con algunas características nuevas que lo hacen más flexible como elemento de campañas criminales multipropósito, y Dridex, un troyano específico de Windows que se propaga a través de archivos adjuntos de correo electrónico no deseado. que roba datos.
Check Point también señaló la aparición de una versión actualizada de Valak, que comenzó a funcionar en 2019 como un lanzador de malware pero ahora se ha convertido en un ladrón de información capaz de extraer información confidencial de los sistemas de correo de Microsoft Exchange, las credenciales de usuario y los certificados de dominio. Se propaga a través de campañas de spam como un archivo .doc malicioso.
“Estas nuevas campañas son otro ejemplo de cómo los actores de amenazas buscan maximizar sus inversiones en formas de malware establecidas y probadas”, dijo Maya Horowitz, directora de inteligencia e investigación de amenazas de Check Point.
“Junto con las versiones actualizadas de Qbot, que surgieron en agosto, Valak está destinado a permitir el robo de datos y credenciales a escala de organizaciones e individuos. Las empresas deben considerar la implementación de soluciones anti-malware que puedan evitar que dicho contenido llegue a los usuarios y aconsejar a sus empleados que sean cautelosos al abrir correos electrónicos, incluso cuando parezcan provenir de una fuente confiable ”.
Tal ha sido la difusión de Emotet en las últimas semanas que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) dio el paso de emitir una alerta específica el pasado 6 de octubre.
“Desde agosto, CISA y MS-ISAC [the Multi-State Information Sharing and Analysis Center] han visto un aumento significativo de ciberatactores maliciosos que se dirigen a los gobiernos estatales y locales con correos electrónicos de phishing de Emotet. Este aumento ha convertido a Emotet en una de las amenazas actuales más frecuentes ”, dijo la agencia.
“El resurgimiento de Emotet este año ha sido particularmente peligroso y los gobiernos de todo el mundo han estado advirtiendo al respecto. Me alegra ver que CISA ha creado conciencia sobre esta grave amenaza »
Chloé Messdaghi, Seguridad Point3
«El resurgimiento de Emotet este año ha sido particularmente peligroso y los gobiernos de todo el mundo han estado advirtiendo al respecto», dijo Chloé Messdaghi, vicepresidenta de estrategia de Point3 Security.
“Me alegra ver que CISA impulsa el mensaje y crea conciencia sobre esta grave amenaza. Lo preocupante es que muchas autoridades municipales, del condado y estatales todavía utilizan tecnología más antigua, lo que las hace mucho más vulnerables a los ataques y la exfiltración de datos, así como a las insinuaciones sobre la seguridad y confiabilidad de nuestras próximas elecciones «.
Dan Piazza, gerente de producto técnico de Stealthbits Technologies, dijo: “El aumento en los ataques Emotet evolucionados ejemplifica perfectamente la necesidad de educar continuamente a los usuarios sobre cómo detectar y evitar correos electrónicos de phishing. Aunque los filtros de correo no deseado y otros métodos de bloqueo de correos electrónicos maliciosos deben estar en su lugar para todas las organizaciones, solo se necesita un correo electrónico para atravesar y engañar exitosamente a un usuario para que Emotet comience a moverse lateralmente a través de una red y finalmente a los derechos de administrador del dominio.
“Emotet también secuestrará los hilos de correo electrónico existentes y legítimos una vez que un host se haya infectado, por lo que los usuarios deben tener cuidado con cada correo electrónico que reciben y no solo con los nuevos hilos de direcciones falsas o falsificadas.
“Desafortunadamente, es inevitable que un usuario eventualmente cometa un error, sucumbirá a un ataque de phishing y se infectará. Ahí es cuando Emotet comienza a moverse lateralmente a través de la red hasta convertirse en administrador de dominio.
“Sin embargo, es posible bloquear este ataque utilizando una combinación de detección y respuesta de amenazas en tiempo real, así como administración de acceso privilegiado, lo que finalmente reduce a cero el privilegio permanente en una red. Mientras Emotet no pueda obtener privilegios de administrador de dominio, el alcance del ataque puede reducirse en gran medida, lo que también gana tiempo para que el equipo de seguridad elimine el malware ”, dijo Piazza.
Mientras tanto, los investigadores de Proofpoint observaron recientemente que un grupo enviaba miles de correos electrónicos con Emotet con el asunto «Team Blue Take Action» para engañar a los posibles voluntarios de la campaña presidencial del demócrata Joe Biden para que hagan clic, usando el texto del cuerpo tomado directamente del sitio web del Comité Nacional Demócrata. . En este caso, Emotet se estaba utilizando como descargador de Qbot.
