viernes, 29 de enero de 2021

Europol desmantela Emotet: la botnet de malware más grande del mundo

 Autoridades policiales y judiciales de todo el planeta han desmantelado "el malware más peligroso del mundo", según sus propias palabras: Emotet. Esta es una de las redes de bots más importantes de la última década y sus efectos son de sobra conocido en países de prácticamente todos los continentes. Los bancos e instituciones financieras extranjeras sufrieron pérdidas por valor de 2.500 millones de dólares por culpa de Emotet


Según ha anunciado la Europol, han tomado el control de la infraestructura de Emotet en una de las operaciones cibercriminales más importantes de los últimos años. No es una exageración, Emotet ha contado durante años con uno de los sistemas más resilientes al sobrevivir a todo tipo de ataques gracias a su gran diversificación.



Emotet surgió como un troyano bancario en 2014, aunque rápidamente se convirtió en todo un complejo sistema para distribución de malware. A través de correos electrónicos de phishing automatizados, envía documentos de Word con macros infectados. Si estos documentos son abiertos infecta automáticamente el ordenador Windows y de ahí distribuye su malware por el resto de dispositivos de la red local. 

  • Ha sido una operación coordinada de los ocho países (Holanda, Francia, Canada, Reino Unido, Alemania, Lituania, Estados Unidos y Ucrania) p

Emotet, "el malware más peligroso del mundo", ha sido desmantelado por una acción policial a nivel mundial: Operación Ladybird

En una acción coordinada a nivel internacional, los investigadores de cuerpos policiales y judiciales de países como Alemania, Estados Unidos, Reino Unido, Francia, Países Bajos, Lituania, Canadá y Ucrania han logrado tomar el control de la infraestructura que controlaba la red. Todo ello bajo la coordinación de Europol y Eurojust, el órgano europeo de coordinación judicial entre países.

Europol explica que han acabado con la infraestructura que empleaba Emotet, el malware preferido por grupos de delincuentes informáticos de alto nivel, haciéndose con el control de cientos de servidores ubicados en diferentes partes del planeta.

Estas máquinas, con el objetivo de ser resistentes si alguna de ellas caía al ser desmantelada por las autoridades, se encargaba de funcionalidades concretas como pueda ser el control de los sistemas infectados, los servicios ofrecidos a grupos de ciberdelincuentes o la propagación a otros sistemas.

 Video detención  Ukraine: National Police of Ukraine

Un video de una redada policial en Ucrania muestra incautando montones de dinero en efectivo, equipo informático y lo que parecen ser muchos lingotes de oro. 

  • Los bancos e instituciones financieras extranjeras sufrieron pérdidas por valor de 2.500 millones de dólares. 
  • Los perpetradores enfrentan hasta doce años de prisión.
  • Comentarios de Serhiy Kropyva, primer subdirector del Departamento de Policía Cibernética de la NPU


Para evitar las salvaguardas de la red Emotet, las autoridades policiales y judiciales se coordinaron esta semana para tomar el control de la infraestructura de forma ordenada y desde dentro, consiguiendo además que los equipos infectados dejen de estar disponibles para los criminales. "Se trata de un enfoque único y novedoso para interrumpir eficazmente las actividades de los facilitadores de la ciberdelincuencia"

Emotet, más de un lustro causando el caos

  • Eliminación de amenazas cibernéticas de Emotet

Los controladores de nivel 1 caen de 100 a cero.


Lo que esto muestra es que la adquisición inicial de Emotet fue un gran éxito. La "Respuesta no válida" que se muestra arriba son los servidores incautados. Las reglas de validación del equipo Cymru muestran que estos servidores no coincidieron con las respuestas esperadas. ¡El bloqueo de los servidores no incautados tuvo un impacto mayor de lo que cualquiera de nosotros esperaba! Todos los servidores no incautados eran inaccesibles desde nuestros múltiples puntos de vista.



Descubierto en 2014 como un troyano bancario, Emotet pronto se hizo conocido por ser el malware de cabecera para los ciberdelincuentes. Resultando fiable y profesional de cara a sus intereses, consiguió convertirse en una solución duradera para acceder a sistemas informáticos de todo el mundo.

Ese era el gran atractivo: ser una puerta de entrada trasera de confianza. Un plus que permitió a sus responsables vender los accesos no autorizados a grupos criminales de alto nivel, explica Europol, que los explotaban para llevar a cabo sus actividades delictivas. Esencialmente, extorsión mediante ransomware y robo de datos, que en muchas ocasiones infectaban sistemas determinados por encargo.

Llegaba, principalmente, a través del correo electrónico con archivos adjuntos infectados. Por lo general, dentro de supuestas facturas o avisos sobre asuntos diversos contenidos en documentos de Microsoft Word. Al abrirlo, al usuario se le pedía habilitar las macros y, entonces, el código malicioso se ejecutaba. No obstante, también era capaz de infectar redes de ordenadores dada su versatilidad.

Autodestrucción programada para el 25 de abril de 2021

¿Cuál es el plan? Erradicar todo rastro de Emotet. Las autoridades tienen el control de la red pero el malware sigue instalado en los ordenadores infectados hasta ahora. Para acabar con ello las autoridades ha comenzado a distribuir una "bomba de relojería" que autodestruirá Emotet el próximo 25 de abril. En otras palabras, han distribuido un software mediante la red de Emotet que desinstalará el propio Emotet.

Mientras tanto, las autoridades siguen buscando a las personas que han estado detrás de la gestión de Emotet durante estos años. También han puesto a disposición de los usuarios una herramienta para comprobar si su correo ha sido vulnerado en alguno de los ataques de Emotet hasta la fecha.

Marcus Hutchins,  investigador de seguridad de Kryptos Logic que ha rastreado a EMOTET y otras botnets durante años, advirtió que cualquier persona cuyas máquinas estén infectadas debe tener cuidado de limpiar sus sistemas a pesar de la eliminación del malware; advierte que aún podrían verse afectados por malware secundario que los socios de EMOTET descargaron previamente en sus computadoras, como TrickBot o QakBot.

Fuentes:
https://www.genbeta.com/seguridad/emotet-malware-peligroso-mundo-ha-sido-desmantelado-accion-policial-a-nivel-mundial

https://www.xataka.com/seguridad/emotet-desmantelada-botnet-grande-mundo-ahora-esta-manos-autoridades-operacion-a-nivel-global

No hay comentarios:

Publicar un comentario