La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multi-Estado (MS-ISAC), de los Estados Unidos, han alertado sobre el resurgimiento de Emotet, un troyano que se propaga a través de archivos adjuntos de correo electrónico de phishing y enlaces web, para infectar de malware a los equipos víctima.
Intenta propagarse en la red a través de fuerza bruta de las credenciales de usuario y la escritura en unidades compartidas. Utiliza bibliotecas de vínculos dinámicos modulares para evolucionar y actualizar continuamente sus capacidades. Debido a sus características tipo gusano para infecciones en toda la red, Emotet es difícil de combatir.
Emotet ha utilizado documentos de Word (.doc) comprometidos adjuntos a correos electrónicos de phishing como vectores de inserción inicial.
El aumento en las descargas del cargador Emotet ha obligado a las empresas de software antivirus a ajustar sus heurísticas de detección. Se ha observado un aumento de los ataques en los Estados Unidos, a los gobiernos estatales y locales; así como en Canadá, Francia, Japón, Nueva Zelanda, Italia y los Países Bajos.
Las botnets de Emotet han usado los troyanos Trickbot para la entrega de cargas útiles de ransomware y Qakbot para robar credenciales bancarias.
Emotet adjunta archivos protegidos con contraseña (por ejemplo, archivos Zip) a los correos electrónicos para evitar las puertas de enlace de seguridad del correo electrónico. Estos mensajes de correo electrónico pretenden entregar documentos creados en dispositivos móviles para atraer a los usuarios específicos para que habiliten macros para “ver” los documentos, una acción que realmente permite la entrega de malware.
También se ha encontrado que los ciberdelincuentes utilizan el secuestro de hilos para difundir Emotet. Esta técnica de ataque implica robar una cadena de correo electrónico existente de un host infectado para responder a la cadena, utilizando una identidad falsificada, y adjuntar un documento malicioso para engañar a los destinatarios para que abran el archivo.
De acuerdo con CISA y MS-ISAC, deben aplicarse las las siguientes mejores prácticas para fortalecer la postura de seguridad de los sistemas de la organización, previa revisión de cualquier cambio de configuración antes de la implementación para evitar impactos no deseados.
- Bloquear archivos adjuntos de correo electrónico comúnmente asociados con malware (p. Ej., .Dll y .exe).
- Bloquear archivos adjuntos de correo electrónico que no puedan ser analizados por software antivirus (por ejemplo, archivos .zip).
- Implementar reglas de firewall y objetos de directiva de grupo.
- Implementar un programa antivirus y un proceso formalizado de administración de parches.
- Implementar filtros en la puerta de enlace de correo electrónico y bloquear las direcciones IP sospechosas en el firewall.
- Usar el principio de privilegio mínimo.
- Implementar sistema de validación de autenticación de mensajes basado en dominio.
- Segmentar y segregar redes y funciones.
- Limitar las comunicaciones laterales innecesarias.
- Desactivar los servicios para compartir archivos e impresoras. En caso de requerirlos, utilizar contraseñas seguras o autenticación de Active Directory.
- Aplicar autenticación multifactor.
- Tener cuidado al abrir archivos adjuntos de correo electrónico, incluso si se espera el archivo adjunto y el remitente parece ser conocido.
- Habilitar un firewall en las estaciones de trabajo, configurado para rechazar solicitudes de conexión no solicitadas.
- Desactivar los servicios innecesarios en estaciones de trabajo y servidores.
- Escanear y eliminar archivos adjuntos de correo electrónico sospechosos.
- Monitorear los hábitos de navegación web de los usuarios; restringir el acceso a sitios sospechosos o riesgosos.
- Tener cuidado al utilizar medios extraíbles (por ejemplo, unidades de memoria USB, unidades externas, CD).
- Escanear todo el software descargado de Internet antes de ejecutarlo.
- Mantener el conocimiento de la situación de las amenazas más recientes e implementar listas de control de acceso adecuadas.