• Portugal y Estados Unidos han sido las mayores víctimas de Trickbot
• Los principales objetivos de Trickbot son los gobiernos, el sector financiero y la industria
• Trickbot depende en gran medida de un pequeño número de direcciones IP para su distribución

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd alerta de nuevos ataques de ransomware como consecuencia de la rápida propagación de Emotet a través de Trickbot. Cuando las fuerzas de seguridad desmantelaron Emotet, los investigadores calcularon 140.000 víctimas de Trickbot en 149 países en sólo 10 meses.  El 15 de noviembre de este año, los investigadores de Check Point Research descubrieron evidencias de Emotet había vuelto y que se propagaba a través de Trickbot. 

Descrito en su día como el «malware más peligroso del mundo», Emotet es un indicador de la llegada de futuros ciberataques ya que proporciona a los ciberdelincuentes una puerta trasera para acceder a las máquinas vulnerables, que pueden ofrecer en alquiler a otros grupos a para que las utilicen en sus propias campañas. 

A principios de año, una acción policial internacional coordinada por Europol y Eurojust se hizo con la infraestructura de Emotet y detuvo a dos individuos. Diez meses después, el 15 de noviembre de 2021, las máquinas infectadas por Trickbot empezaron a dar muestras de una infección de Emotet promoviendo a los usuarios a descargar archivos zip protegidos por contraseña, que contienen documentos maliciosos que reconstruyen la red de botnets de Emotet.

Figura 1. Víctimas de Emotet en el año 2021.

Más de 140.000 víctimas de Trickbot 

Trickbot ha demostrado un ritmo de crecimiento constante de su actividad. Check Point Research ha detectado más de 140.000 víctimas afectadas por este malware en todo el mundo desde el desmantelamiento de la red de bots, incluyendo empresas y particulares. En total, este ataque ha llegado a afectar a 149 países, lo que supone más del 75% de todos los territorios del mundo.

Figura 2. Evolución de las máquinas infectadas por Trickbot desde el 1 de noviembre de 2020

Trickbot por zonas geográficas

Casi un tercio de los objetivos de Trickbot se encuentran en Portugal y Estados Unidos.

Figura 3. Víctimas de Trickbot desde el 1 de noviembre de 2020 agrupadas por países

Trickbot por industria

Asimismo, los investigadores han realizado un seguimiento de la distribución de los afectados por sectores. Las víctimas de la industria de primer nivel constituyen más del 50% de todas las víctimas.

Figura 4. Víctimas de Trickbot desde el 1 de noviembre de 2020 agrupadas por sectores

«Emotet fue la red de bots más potente de la historia de la ciberdelincuencia, con una amplia base de contagio. Ahora, ha revendido su base de infección a otros atacantes para propagar su malware; y la mayoría de las veces, ha sido a bandas de ransomware. El regreso de Emotet es una importante señal de advertencia para el aumento de estos ataques al entrar en 2022. Trickbot, que siempre ha colaborado con Emotet, está facilitando su regreso al dejarlo caer sobre sus víctimas infectadas. Esto ha permitido a Emotet empezar desde una posición muy firme, y no desde cero. En sólo dos semanas desde su reaparición, se ha situado en el séptimo malware más popular, siendo el mejor indicador para hacer frente a futuros ataques de ransomware. Debemos tratar las infecciones de Emotet y Trickbot como si fueran ransomware. De lo contrario, es sólo cuestión de tiempo que tengamos que enfrentarnos a un ataque de ransomware real», alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.