Emotet

¿Qué es Emotet? ¿Cómo puedo protegerme?

Consejos de ciberseguridad contra el malware más peligroso del mundo, Emotet

Home » Knowledge Base » Emotet

Los expertos del Security Lab de Hornetsecurity observan el regreso de Emotet después de una larga pausa.

El nombre Emotet aparece repetidamente en las noticias en relación con ciberataques realmente graves contra empresas, administraciones, hospitales y universidades. En 2019, el BSI (Oficina Federal de Seguridad Informática en Alemania) llamó a Emotet el malware más peligroso del mundo, porque el malware Emotet ha causado daños que ascienden a millones de dólares ¿Qué hace a Emotet tan amenazante? ¿Cómo puedes protegerte de él? Hornetsecurity te explicará en qué consiste, basándose en los análisis de sus expertos en ciberseguridad.

¿Qué es Emotet?

¿Qué es Emotet? ¿Es Emotet un virus? No. Emotet apareció por primera vez como un  troyano bancario en 2014. El ataque tenía como objetivo interceptar los datos de acceso de los clientes de bancos alemanes y austríacos. Mientras tanto, Emotet fue capaz de recargar y ejecutar una gran variedad de otros módulos con otras funciones maliciosas.

El malware Emotet ataca principalmente a través de correos electrónicos no deseados y afecta a los usuarios privados, así como a empresas, hospitales, instituciones gubernamentales e infraestructuras críticas.

Adapta y automatiza los métodos de ataques de amenazas persistentes avanzadas altamente profesionales. Los hackers tienen objetivos muy claros y son capaces de infectar un sistema durante mucho tiempo. Por ello, Emotet no es fácil de identificar e interceptar.

Un aspecto  que hace que Emotet sea particularmente peligroso: desde finales de 2018, el malware ha sido capaz de analizar los contactos y el contenido de correos de los buzones de los sistemas infectados utilizando la llamada “Outlook Harvesting” con el fin de lanzar más ataques sobre esta base. La propagación es extremadamente rápida. Otros destinatarios recibirán correos electrónicos verdaderos de personas con las que estuvieron recientemente en contacto.

Los archivos adjuntos malintencionados o las direcciones URL contenidas en el mensaje se abren sin cuidado. Además de este módulo de spam, Emotet también puede cargar un módulo de gusano, lo que le permite propagarse de forma independiente en la red de la empresa.   Esto hace que se propague a otros equipos sin necesidad de que los usuarios hagan clic y activen un archivo adjunto.

En este contexto, Emotet también lleva a cabo ataques de fuerza bruta con el objetivo de hackear contraseñas. Esto puede tener graves consecuencias. Una vez que el equipo está infectado, Emotet descarga malware adicional a través de servidores C&C, dependiendo del objetivo. Existe el riesgo de robo de datos, pérdida de control sobre los sistemas, fallo de toda la infraestructura de TI y restricciones en los procesos empresariales críticos.  En casos extremos, las redes de toda una empresa deben reconstruirse después de la infección.  Los daños a menudo equivalen a millones en pérdidas.

Maestro del disfraz: ¿Por qué Emotet es tan difícil de derrotar?

Los troyanos Emotet no son  fáciles de identificar e  interceptar, ya que engañan a los productos antivirus tradicionales: Como un virus polimórfico, el código cambia ligeramente con cada nueva recuperación para evitar ser detectado por escáneres de virus basados en firmas. Además, el virus detecta cuando se está ejecutando en una máquina virtual. Tan pronto como se registra en un entorno sandbox, el programa cae en un tipo de modo de espera y no realiza ninguna acción maliciosa durante ese momento.

Emotet, TrickBot y el ransomware Ryuk

Como se mencionó anteriormente, Emotet carga malware adicional después de una infección exitosa.    La alianza especialmente peligrosa se crea cuando se utiliza en conjunto con TrickBot y Ryuk: disfrazado en un documento de Word, Emotet penetra y espía una red corporativa cuando se ejecuta el archivo.  Como un «abridor de puerta», recarga el troyano bancario TrickBot, que entre otras cosas copia los datos de acceso a la cuenta. Pasa esta información al ransomware Ryuk, que es el último en ser cargado. Ryuk ahora cifra todos los archivos en el sistema que TrickBot y Emotet han clasificado previamente como sensibles o importantes.

¿Cómo te proteges de Emotet?

Para protegerse eficazmente de Emotet, es necesario centrarse en el punto de entrada principal del malware: la comunicación por correo electrónicoHornetsecurity   Advanced Threat Protection detecta fácilmente malware con Emotet y Ryuk en correos electrónicos y pone en cuarentena a ambos programas maliciosos.   La primera instancia de análisis identifica al troyano Emotet. Los troyanos posteriores Ryuk y TrickBot se pueden desenmascarar utilizando el análisis de comportamiento dinámico en el sandbox de ATP. Los correos electrónicos que contienen el malware pérfido no se entregan a los destinatarios.

Además, debe procurarse un comportamiento atento y siempre con miras a salvaguardar la seguridad de la empresa:

  • Dado que Emotet a menudo se esconde en los archivos de Microsoft Office y necesita macros para instalar malware, tiene sentido no permitirlos. Tampoco son necesarios en las áreas privadas de la mayoría de los negocios. Pero si los necesitamos, sería posible permitir sólo macros firmados.
  • Las actualizaciones de seguridad implementadas deben instalarse inmediatamente para sistemas operativos, programas antivirus, navegadores web, clientes de correo electrónico y programas de uso empresarial.
  • Se recomienda hacer copias de seguridad de datos de manera regular.
  • La vigilancia es primordial: Incluso con remitentes supuestamente conocidos, uno debe tener cuidado con los archivos adjuntos de correos electrónicos, especialmente con documentos de Office y sus enlaces. En caso de duda, es aconsejable contactar con el remitente de un correo electrónico sospechoso y comprobar la credibilidad del contenido.
  • Los accesos a la propia red de la empresa deben supervisarse continuamente. De esta manera, se puede determinar de forma oportuna si se ha producido una infección por Emotet.
Ransomware - Una amenaza creciente

Ransomware – Una amenaza creciente

El ransomware es uno de los métodos más populares que usan los  ciberdelincuentes para conseguir grandes ganancias, pero también para causar  un inmenso daño financiero a sus víctimas.  Es un software de chantaje que entra en el sistema de una empresa, donde todos los archivos sensibles y confidenciales se cifran y sólo se liberan de nuevo con un rescate en forma de bitcoins.  Sin embargo, no siempre está claro si los archivos se liberan realmente después de que se haya realizado un pago.

Los principales objetivos de los hackers son: grandes empresas e instituciones gubernamentales, así como infraestructuras críticas. En el peor de los casos, la insolvencia de toda una empresa se ve amenazada después de un ataque. Otras de las posibles graves consecuencias son grandes pérdidas en el volumen de negocio de las compañías afectadas.

Más sobre Emotet

Resumen del informe

El Infopaper resume las recomendaciones de los expertos de Hornetsecurity. Descárgatelo ahora y descubre qué es el Emotet, qué hace exactamente que el malware Emotet sea tan peligroso, y cómo los usuarios pueden protegerse.

Aprende más de Emotet

Puedes encontrar más información sobre Emotet en nuestro nuevo blog «Emotet ha vuelto«. Como protección fiable contra  Emotet, Hornetsecurity recomienda el servicio de Advanced Threat Protection.

¡Descubre nuestra Knowledge base!

¿Has aprendido sobre Emotet? Haz clic aquí para ver una visión general de nuestra «Knowledge base». Allí podrás aprender más sobre temas como los ataques DDoS, el virus Cryptolocker, el Spear-Phishing, los ataques de fuerza bruta, el GDPR, Cyberkill Chain y BEC. ¡Aprende más!