Emotet

Emotet es un tipo de malware originalmente diseñado como un troyano bancario que buscaba robar datos financieros, pero ha evolucionado hasta convertirse en una gran amenaza para los usuarios de todo el mundo.

.st0{fill:#0D3ECC;} DESCARGA MALWAREBYTES GRATIS

También para Windows, iOS, Android, Chromebook y Para empresas

Hablemos del malware Emotet

Puede que hayas oído hablar de Emotet en las noticias. ¿Qué es: un antiguo rey egipcio, la banda emo favorita de tu hermana adolescente? Nos tememos que no.

El troyano bancario Emotet fue identificado por primera vez por investigadores de seguridad en 2014. Emotet fue diseñado originalmente como un malware bancario que intentaba colarse en el ordenador y robar información sensible y privada. En versiones posteriores del software se añadieron servicios de envío de spam y malware, incluidos otros troyanos bancarios.

Emotet utiliza funciones que ayudan al software a evadir la detección por algunos productos antimalware. Emotet usa capacidades similares a gusanos para ayudar a propagarse a otras computadoras conectadas. Esto ayuda en la distribución del malware. Esta funcionalidad ha llevado al Departamento de Seguridad Nacional a concluir que Emotet es uno de los malwares más costosos y destructivos, afectando al sector gubernamental y privado, individuos y organizaciones, y costando hasta más de 1 millón de dólares por incidente para limpiar.

icono de escudo

Productos de ciberseguridad contra Emotet

Para empresas

Malwarebytes Endpoint Detection and Response (Detección y respuestaMalwarebytes para puntos finales)
 Malwarebytes Endpoint Protection

¿Qué es Emotet?

Emotet es un troyano que se propaga principalmente a través de correos electrónicos no deseados(malspam). La infección puede llegar a través de un script malicioso, archivos de documentos con macros o enlaces maliciosos. Los correos electrónicos de Emotet pueden contener marcas familiares diseñadas para parecer un correo legítimo. Emotet puede intentar persuadir a los usuarios para que hagan clic en los archivos maliciosos utilizando un lenguaje tentador sobre "Su factura", "Detalles de pago" o, posiblemente, un próximo envío de conocidas empresas de paquetería.

Emotet ha pasado por varias iteraciones. Las primeras versiones llegaban como un archivo JavaScript malicioso. Las versiones posteriores evolucionaron para utilizar documentos con macros habilitadas para recuperar la carga útil del virus desde servidores de comando y control (C&C) gestionados por los atacantes. 

Emotet utiliza una serie de trucos para intentar prevenir la detección y el análisis. Notablemente, Emotet sabe si se está ejecutando dentro de una máquina virtual (VM) y permanecerá inactivo si detecta un entorno de sandbox, que es una herramienta que los investigadores de ciberseguridad usan para observar malware dentro de un espacio seguro y controlado.

Emotet también usa servidores C&C para recibir actualizaciones. Esto funciona de la misma manera que las actualizaciones del sistema operativo en tu PC y puede ocurrir sin problemas y sin señales exteriores. Esto permite a los atacantes instalar versiones actualizadas del software, instalar malware adicional como otros troyanos bancarios, o actuar como un contenedor de información robada como credenciales financieras, nombres de usuario y contraseñas, y direcciones de correo electrónico.

Noticias sobre Emotet

¿Cómo se propaga Emotet?

El método principal de distribución de Emotet es a través de malspam. Emotet saquea tu lista de contactos y se envía a tus amigos, familia, compañeros de trabajo y clientes. Como estos correos electrónicos provienen de tu cuenta de correo electrónico secuestrada, los correos electrónicos se parecen menos a spam y los destinatarios, al sentirse seguros, están más inclinados a hacer clic en URL malas y descargar archivos infectados.

Si hay una red conectada presente, Emotet se propaga utilizando una lista de contraseñas comunes, abriéndose camino hacia otros sistemas conectados en un ataque de fuerza bruta. Si la contraseña para el servidor de recursos humanos, que es tan importante, es simplemente "contraseña", es probable que Emotet llegue allí.

Los investigadores pensaron inicialmente que Emotet también se propagaba utilizando las vulnerabilidades EternalBlue/DoublePulsar, responsables de los ataques WannaCry y NotPetya. Ahora sabemos que no es así. Lo que llevó a los investigadores a esta conclusión fue el hecho de que TrickBot, un troyano a menudo propagado por Emotet, hace uso del exploit EternalBlue para propagarse a través de una red determinada. Era TrickBot, y no Emotet, quien se aprovechaba de las vulnerabilidades EternalBlue/DoublePulsar.

¿Cuál es la historia de Emotet?

Identificado por primera vez en 2014, Emotet sigue infectando sistemas y dañando a los usuarios hasta el día de hoy, por eso seguimos hablando de él, a diferencia de otras tendencias de 2014 (¿Alguien recuerda el Ice Bucket Challenge?).

La versión uno de Emotet fue diseñada para robar detalles de cuentas bancarias interceptando el tráfico de internet. Poco tiempo después, se detectó una nueva versión del software. Esta versión, apodada Emotet versión dos, venía con varios módulos, incluyendo un sistema de transferencias de dinero, un módulo de malspam y un módulo bancario que apuntaba a bancos alemanes y austriacos.

"Las versiones actuales del troyano Emotet incluyen la capacidad de instalar otros tipos de malware en las máquinas infectadas. Este malware puede incluir otros troyanos bancarios o servicios de entrega de malspam."

Para enero de 2015, apareció en la escena una nueva versión de Emotet. La versión tres contenía modificaciones ocultas diseñadas para mantener el malware bajo el radar y añadió nuevos objetivos bancarios en Suiza.

Avance rápido hasta 2018: las nuevas versiones del troyano Emotet incluyen la capacidad de instalar otro malware en las máquinas infectadas. Este malware puede incluir otros troyanos y ransomware. Como ejemplo, un ataque de Emotet en julio de 2019 en Lake City, Florida, le costó a la ciudad 460,000 dólares en pagos de ransomware, según Gizmodo. Un análisis de la huelga encontró que Emotet sirvió solo como el vector de infección inicial. Una vez infectado, Emotet descargó otro troyano bancario conocido como TrickBot y el ransomware Ryuk.

Después de permanecer relativamente silencioso durante la mayor parte de 2019, Emotet volvió con fuerza. En septiembre de 2019, Malwarebytes Labs informó sobre una campaña de spam impulsada por botnets dirigida a víctimas alemanas, polacas, italianas e inglesas con líneas de asunto ingeniosamente redactadas como "Aviso de Remisión de Pago" y "Factura vencida". Abrir el documento infectado de Microsoft Word inicia una macro, que a su vez descarga Emotet desde sitios de WordPress comprometidos.

¿A quiénes apunta Emotet?

Todo el mundo es objetivo de Emotet. Hasta la fecha, Emotet ha atacado a particulares, empresas y entidades gubernamentales de Estados Unidos y Europa, robando contraseñas bancarias, datos financieros e incluso monederos Bitcoin.

Un ataque de Emotet notable en la ciudad de Allentown, PA, requirió ayuda directa del equipo de respuesta a incidentes de Microsoft para limpiar, y supuestamente le costó a la ciudad más de 1 millón de dólares para solucionar.

Ahora que Emotet se utiliza para descargar y entregar otros troyanos bancarios, la lista de objetivos es potencialmente aún más amplia. Las primeras versiones de Emotet se usaron para atacar a clientes bancarios en Alemania. Las versiones posteriores de Emotet apuntaron a organizaciones en Canadá, el Reino Unido y los Estados Unidos.

"Un ataque de Emotet notable en la ciudad de Allentown, PA requirió ayuda directa del equipo de respuesta a incidentes de Microsoft para limpiar y, supuestamente, le costó a la ciudad más de 1 millón de dólares para solucionar."

¿Cómo puedo protegerme de Emotet?

Ya estás dando el primer paso para protegerte a ti y a tus usuarios de Emotet al aprender cómo funciona Emotet. Aquí hay algunos pasos adicionales que puedes seguir:

  1. Mantén tu computadora/endpoints actualizados con los últimos parches para Microsoft Windows. TrickBot a menudo se entrega como una carga secundaria de Emotet, y sabemos que TrickBot depende de la vulnerabilidad EternalBlue de Windows para hacer su trabajo sucio, así que parchea esa vulnerabilidad antes de que los ciberdelincuentes puedan aprovecharla.
  2. No descargues archivos adjuntos sospechosos ni hagas clic en un enlace que parezca dudoso. Emotet no puede conseguir esa cabeza de playa inicial en tu sistema o red si evitas esos correos sospechosos. Tómate el tiempo para educar a tus usuarios sobre cómo identificar malspam.
  3. Edúcate a ti mismo y a tus usuarios sobre crear una contraseña segura. Mientras estás en ello, comienza a usar autenticación de dos factores.
  4. Puedes protegerte a ti y a tus usuarios de Emotet con un programa de ciberseguridad robusto que incluya protección de múltiples capas. Los productos empresariales y Malwarebytes premium para consumidores detectan y bloquean Emotet en tiempo real.  

¿Cómo puedo eliminar Emotet?

Si sospechas que ya has sido infectado por Emotet, no te preocupes. Si tu computadora está conectada a una red, aíslala inmediatamente. Una vez aislada, procede a parchear y limpiar el sistema infectado. Pero aún no has terminado. Debido a la forma en que Emotet se propaga por tu red, una computadora limpia puede ser reinfectada cuando se vuelve a conectar a una red infectada. Limpia cada computadora de tu red una por una. Es un proceso tedioso, pero las soluciones empresariales de Malwarebytes pueden facilitarlo, aislando y remediando los endpoints infectados y ofreciendo protección proactiva contra futuras infecciones de Emotet.

Si saber es la mitad de la batalla, dirígete a Malwarebytes Labs donde puedes aprender más sobre cómo Emotet evade la detección y cómo funciona el código de Emotet.