Emotet

Emotet es un tipo de malware originalmente diseñado como un troyano bancario que buscaba robar datos financieros, pero ha evolucionado hasta convertirse en una gran amenaza para los usuarios de todo el mundo.

.st0{fill:#0D3ECC;} DESCARGA MALWAREBYTES GRATIS

También para Windows, iOS, Android, Chromebook y Para empresas

Hablemos del malware Emotet

Puede que hayas oído hablar de Emotet en las noticias. ¿Qué es: un antiguo rey egipcio, la banda emo favorita de tu hermana adolescente? Nos tememos que no.

El troyano bancario Emotet fue identificado por primera vez por investigadores de seguridad en 2014. Emotet fue diseñado originalmente como un malware bancario que intentaba colarse en tu ordenador y robar información sensible y privada. Las versiones posteriores del software vieron la adición de servicios de spam y distribución de malware, incluidos otros troyanos bancarios.

Emotet utiliza funciones que ayudan al software a evadir la detección por algunos productos antimalware. Emotet usa capacidades similares a gusanos para ayudar a propagarse a otras computadoras conectadas. Esto ayuda en la distribución del malware. Esta funcionalidad ha llevado al Departamento de Seguridad Nacional a concluir que Emotet es uno de los malwares más costosos y destructivos, afectando al sector gubernamental y privado, individuos y organizaciones, y costando hasta más de 1 millón de dólares por incidente para limpiar.

icono de escudo

Productos de ciberseguridad contra Emotet

Para empresas

Detección y Respuesta de Endpoints Malwarebytes
 Protección de Endpoints Malwarebytes
 Respuesta a Incidentes Malwarebytes

¿Qué es Emotet?

Emotet es un troyano que se propaga principalmente a través de correos electrónicos de spam (malspam). La infección puede llegar a través de un script malicioso, archivos de documentos habilitados con macros o un enlace malicioso. Los correos de Emotet pueden contener marcas conocidas diseñadas para parecer un correo electrónico legítimo. Emotet puede intentar persuadir a los usuarios para que hagan clic en los archivos maliciosos usando lenguaje tentador sobre "tu factura", "detalles de pago" o posiblemente un próximo envío de conocidas empresas de paquetería.

Emotet ha pasado por algunas iteraciones. Las primeras versiones llegaron como un archivo JavaScript malicioso. Las versiones posteriores evolucionaron para usar documentos habilitados con macros para recuperar la carga del virus de servidores de comando y control (C&C) gestionados por los atacantes. 

Emotet utiliza una serie de trucos para intentar prevenir la detección y el análisis. Notablemente, Emotet sabe si se está ejecutando dentro de una máquina virtual (VM) y permanecerá inactivo si detecta un entorno de sandbox, que es una herramienta que los investigadores de ciberseguridad usan para observar malware dentro de un espacio seguro y controlado.

Emotet también usa servidores C&C para recibir actualizaciones. Esto funciona de la misma manera que las actualizaciones del sistema operativo en tu PC y puede ocurrir sin problemas y sin señales exteriores. Esto permite a los atacantes instalar versiones actualizadas del software, instalar malware adicional como otros troyanos bancarios, o actuar como un contenedor de información robada como credenciales financieras, nombres de usuario y contraseñas, y direcciones de correo electrónico.

Noticias sobre Emotet

¿Cómo se propaga Emotet?

El método principal de distribución de Emotet es a través de malspam. Emotet saquea tu lista de contactos y se envía a tus amigos, familia, compañeros de trabajo y clientes. Como estos correos electrónicos provienen de tu cuenta de correo electrónico secuestrada, los correos electrónicos se parecen menos a spam y los destinatarios, al sentirse seguros, están más inclinados a hacer clic en URL malas y descargar archivos infectados.

Si hay una red conectada presente, Emotet se propaga utilizando una lista de contraseñas comunes, abriéndose camino hacia otros sistemas conectados en un ataque de fuerza bruta. Si la contraseña para el servidor de recursos humanos, que es tan importante, es simplemente "contraseña", es probable que Emotet llegue allí.

Los investigadores inicialmente pensaron que Emotet también se propagaba utilizando las vulnerabilidades EternalBlue/DoublePulsar, que fueron responsables de los ataques WannaCry y NotPetya. Ahora sabemos que esto no es el caso. Lo que llevó a los investigadores a esta conclusión fue el hecho de que TrickBot, un troyano a menudo propagado por Emotet, utiliza la explotación EternalBlue para propagarse a través de una red dada. Fue TrickBot, no Emotet, quien estaba aprovechando las vulnerabilidades de EternalBlue/DoublePulsar.

¿Cuál es la historia de Emotet?

Identificado por primera vez en 2014, Emotet sigue infectando sistemas y dañando a los usuarios hasta el día de hoy, por eso seguimos hablando de él, a diferencia de otras tendencias de 2014 (¿Alguien recuerda el Ice Bucket Challenge?).

La versión uno de Emotet fue diseñada para robar detalles de cuentas bancarias interceptando el tráfico de internet. Poco tiempo después, se detectó una nueva versión del software. Esta versión, apodada Emotet versión dos, venía con varios módulos, incluyendo un sistema de transferencias de dinero, un módulo de malspam y un módulo bancario que apuntaba a bancos alemanes y austriacos.

"Las versiones actuales del troyano Emotet incluyen la capacidad de instalar otros tipos de malware en las máquinas infectadas. Este malware puede incluir otros troyanos bancarios o servicios de entrega de malspam."

Para enero de 2015, apareció en la escena una nueva versión de Emotet. La versión tres contenía modificaciones ocultas diseñadas para mantener el malware bajo el radar y añadió nuevos objetivos bancarios en Suiza.

Avance rápido hasta 2018—las nuevas versiones del troyano Emotet incluyen la capacidad de instalar otros tipos de malware en las máquinas infectadas. Este malware puede incluir otros troyanos y ransomware. Por ejemplo, un ataque de Emotet en Lake City, Florida, en julio de 2019, le costó a la ciudad 460,000 dólares en pagos de ransomware, según Gizmodo. Un análisis del ataque encontró que Emotet solo sirvió como el vector inicial de infección. Una vez infectado, Emotet descargó otro troyano bancario conocido como TrickBot y el ransomware Ryuk.

Después de permanecer relativamente silencioso durante la mayor parte de 2019, Emotet volvió con fuerza. En septiembre de 2019, Malwarebytes Labs informó sobre una campaña de spam impulsada por botnets dirigida a víctimas alemanas, polacas, italianas e inglesas con líneas de asunto ingeniosamente redactadas como "Aviso de Remisión de Pago" y "Factura vencida". Abrir el documento infectado de Microsoft Word inicia una macro, que a su vez descarga Emotet desde sitios de WordPress comprometidos.

¿A quiénes apunta Emotet?

Todos son un objetivo para Emotet. Hasta la fecha, Emotet ha atacado a individuos, empresas y entidades gubernamentales en Estados Unidos y Europa, robando inicios de sesión bancarios, datos financieros e incluso carteras de Bitcoin.

Un ataque de Emotet notable en la ciudad de Allentown, PA, requirió ayuda directa del equipo de respuesta a incidentes de Microsoft para limpiar, y supuestamente le costó a la ciudad más de 1 millón de dólares para solucionar.

Ahora que Emotet se utiliza para descargar y entregar otros troyanos bancarios, la lista de objetivos es potencialmente aún más amplia. Las primeras versiones de Emotet se usaron para atacar a clientes bancarios en Alemania. Las versiones posteriores de Emotet apuntaron a organizaciones en Canadá, el Reino Unido y los Estados Unidos.

"Un ataque de Emotet notable en la ciudad de Allentown, PA requirió ayuda directa del equipo de respuesta a incidentes de Microsoft para limpiar y, supuestamente, le costó a la ciudad más de 1 millón de dólares para solucionar."

¿Cómo puedo protegerme de Emotet?

Ya estás dando el primer paso para protegerte a ti y a tus usuarios de Emotet al aprender cómo funciona Emotet. Aquí hay algunos pasos adicionales que puedes seguir:

  1. Mantén tu computadora/endpoints actualizados con los últimos parches para Microsoft Windows. TrickBot a menudo se entrega como una carga secundaria de Emotet, y sabemos que TrickBot depende de la vulnerabilidad EternalBlue de Windows para hacer su trabajo sucio, así que parchea esa vulnerabilidad antes de que los ciberdelincuentes puedan aprovecharla.
  2. No descargues archivos adjuntos sospechosos ni hagas clic en un enlace que parezca dudoso. Emotet no puede conseguir esa cabeza de playa inicial en tu sistema o red si evitas esos correos sospechosos. Tómate el tiempo para educar a tus usuarios sobre cómo identificar malspam.
  3. Edúcate a ti mismo y a tus usuarios sobre crear una contraseña segura. Mientras estás en ello, comienza a usar autenticación de dos factores.
  4. Puedes protegerte a ti y a tus usuarios de Emotet con un programa de ciberseguridad robusto que incluya protección de múltiples capas. Los productos empresariales y Malwarebytes premium para consumidores detectan y bloquean Emotet en tiempo real.  

¿Cómo puedo eliminar Emotet?

Si sospechas que ya has sido infectado por Emotet, no te preocupes. Si tu computadora está conectada a una red, aíslala inmediatamente. Una vez aislada, procede a parchear y limpiar el sistema infectado. Pero aún no has terminado. Debido a la forma en que Emotet se propaga por tu red, una computadora limpia puede ser reinfectada cuando se vuelve a conectar a una red infectada. Limpia cada computadora de tu red una por una. Es un proceso tedioso, pero las soluciones empresariales de Malwarebytes pueden facilitarlo, aislando y remediando los endpoints infectados y ofreciendo protección proactiva contra futuras infecciones de Emotet.

Si saber es la mitad de la batalla, dirígete a Malwarebytes Labs donde puedes aprender más sobre cómo Emotet evade la detección y cómo funciona el código de Emotet.