La botnet Emotet, que, según Europol es «el malware más peligroso del mundo», mostró un crecimiento mundial de más del 200% en marzo de 2022, según la telemetría de Kaspersky. Este crecimiento indica que los actores de amenazas detrás de la botnet han tomado medidas para aumentar significativamente su actividad maliciosa por primera vez desde su regreso en noviembre de 2021. Estos hallazgos son parte de la última investigación de Kaspersky que analiza los módulos de Emotet y la actividad reciente.
Emotet es a la vez una botnet, una red controlada de dispositivos infectados que se utiliza para ataques a otros dispositivos, y malware que es capaz de extraer diferentes tipos de datos, a menudo relacionados con las finanzas, de los dispositivos infectados. Operado por actores de amenazas experimentados, se ha convertido en uno de los jugadores más importantes en el mundo del cibercrimen. Emotet se cerró tras el esfuerzo conjunto de varios organismos legislativos de diferentes países en enero de 2021. Sin embargo, en noviembre de 2021, la red de bots regresó y ha ido aumentando gradualmente su actividad desde entonces. En primer lugar, difundiéndose a través de Trickbot, una red de bots diferente, y ahora por sí mismo a través de campañas de spam maliciosas.
La telemetría de Kaspersky muestra que la cantidad de víctimas se disparó de 2.843 en febrero de 2022 a 9.086 en marzo, multiplicando por más de tres la cantidad de usuarios atacados. La cantidad de ataques detectados por las soluciones de Kaspersky ha crecido en consecuencia: de 16.897 en febrero de 2022 a 48.597 en marzo.
Una infección típica de Emotet se inicia con correos electrónicos no deseados que contienen archivos adjuntos de Microsoft Office con una macro maliciosa. Con esta macro, el actor puede iniciar un comando malicioso de PowerShell para soltar e iniciar un cargador de módulos, que luego puede comunicarse con un servidor de comando y control para descargar e iniciar módulos. Estos módulos pueden realizar una variedad de tareas diferentes en el dispositivo infectado. Los analistas de Kaspersky pudieron recuperar y analizar 10 de los 16 módulos, y Emotet ya había usado la mayoría en el pasado de una forma u otra.
La versión actual de Emotet puede crear campañas de spam automatizadas que se propagan aún más por la red desde los dispositivos infectados, extrayendo correos electrónicos y direcciones de email de las aplicaciones Thunderbird y Outlook y recopilando contraseñas de navegadores web populares, como Internet Explorer, Mozilla Firefox, Google Chrome, Safari y Opera, para recopilar los datos de la cuenta de los clientes de correo electrónico.
“Emotet era una red muy avanzada que perseguía a muchas organizaciones de todo el mundo. Su desmantelamiento fue un paso importante para disminuir las amenazas en todo el mundo al ayudar a desmontar su red y eliminarla de la lista de principales amenazas durante más de un año. Si bien la cantidad de ataques no es comparable con la escala anterior de las operaciones de Emotet, el cambio en la dinámica apunta a una activación significativa de los operadores de la botnet y una alta probabilidad de que esta amenaza se extienda aún más en los próximos meses”, comenta Alexey Shulmin, analista de seguridad de Kaspersky.
Para ayudar a las empresas a mantenerse protegidas frente a Emotet y botnets similares, los expertos sugieren que las organizaciones tomen las siguientes medidas lo antes posible:
- Mantén sistemas actualizados. Comprueba si hay más desarrollos con respecto a Emotet. Hay varias formas de hacerlo, como visitar el Kaspersky Resource Center o realizar tu propia investigación.
- No descargues archivos adjuntos dudosos de correos electrónicos no deseados ni hagas clic en enlaces sospechosos. Si no estás seguro de si un correo electrónico es falso, evita riesgos y comunícate con el remitente. Si se solicita que permitas que una macro se ejecute en un archivo descargado, no lo hagas bajo ninguna circunstancia y elimina el archivo de inmediato. De esta manera, no le darás a Emotet la oportunidad de entrar en el ordenador.
- Utiliza la banca online con soluciones de autenticación multifactor.
- Asegúrate de instalar un programa completo de protección contra virus y malware, como Kaspersky Internet Security, y haz que analice el equipo con regularidad en busca de vulnerabilidades. Esto ofrecerá la mejor protección posible contra los últimos virus, spyware, etc.
- Confirma que tu software esté actualizado, incluido su sistema operativo y cualquier aplicación de software (los atacantes aprovechan las lagunas en los programas ampliamente utilizados para obtener acceso).
- Invierte en formación regular para concienciar sobre la ciberseguridad y educar a los empleados sobre las mejores prácticas, como no hacer clic en enlaces o abrir archivos adjuntos recibidos de fuentes no confiables. Simula un ataque de phishing para asegurarte de que sepan cómo distinguir los correos electrónicos de phishing.