junio 29, 2022

DHS advierte que el malware Emotet es una de las amenazas más frecuentes en la actualidad

Una calavera estilizada y tibias cruzadas formadas por unos y ceros.

El malware conocido como Emotet ha surgido como «una de las amenazas continuas más extendidas», ya que se dirige cada vez más a los gobiernos estatales y locales y los infecta con otro malware, dijo el martes el brazo de seguridad de TI del Departamento de Seguridad Nacional.

Emotet se identificó por primera vez en 2014 como un troyano relativamente sencillo para el robo de credenciales de cuentas bancarias. En un año o dos, se había reinventado a sí mismo como un formidable descargador o dropper que instalaba más malware después de infectar una PC. El troyano bancario Trickbot y el ransomware Ryuk son dos de los seguimientos más comunes. Durante el último mes, Emotet ingresó con éxito en el Departamento de Justicia de Quebec y aumentó su ataque a los gobiernos de Francia, Japón y Nueva Zelanda. También apuntó al Comité Nacional Demócrata.

Para no quedarse fuera, los gobiernos estatales y locales de EE. UU. También están recibiendo atención no deseada, según CISA, abreviatura de Cybersecurity and Infrastructure Security Agency. Einstein, el sistema de detección de intrusos de la agencia para recopilar, analizar y compartir información de seguridad entre departamentos y agencias civiles federales, también ha experimentado un fuerte aumento en las últimas semanas. En un aviso publicado el martes, los funcionarios escribieron:

Desde julio de 2021, CISA ha visto un aumento en la actividad que involucra indicadores asociados con Emotet. Durante este período, el sistema de detección de intrusos EINSTEIN de CISA, que protege las redes de los poderes ejecutivo civil y federal, detectó aproximadamente 16.000 alertas relacionadas con la actividad de Emotet. CISA observó la ejecución de Emotet en fases durante posibles campañas específicas. Emotet utilizó documentos de Word comprometidos (.docs) adjuntos a correos electrónicos de phishing como vectores de inserción inicial. Posible comando y control del tráfico de red involucrado HTTP POST solicitudes a identificadores uniformes de recursos que consisten en directorios alfabéticos de longitud aleatoria sin sentido a dominios conocidos o direcciones IP relacionadas con Emotet con la siguiente cadena de agente de usuario (Protocolo de capa de aplicación: protocolos web [T1071.001]).

El éxito de Emotet es el resultado de una serie de trucos, algunos de los cuales incluyen:

  • La capacidad de propagarse a redes Wi-Fi cercanas.
  • Un diseño polimórfico, lo que significa que cambia constantemente sus características identificables, lo que dificulta su detección como dañino.
  • Infecciones sin archivos, como los scripts de Powershell que también dificultan la detección de infecciones posteriores
  • Funcionalidad similar a un gusano que roba contraseñas administrativas y las usa para propagarse por una red
  • «Secuestro de hilo de correo electrónico», lo que significa que roba cadenas de correo electrónico de una máquina infectada y utiliza una identidad falsificada para engañar a otras personas en el hilo para abrir un archivo malicioso o hacer clic en un enlace malicioso. .

A continuación se muestra un diagrama que muestra algunas de las técnicas utilizadas por Emotet.

CISA

En febrero, Emotet se oscureció repentinamente, sin una razón clara para hacerlo. Luego, en julio, regresó con la misma rapidez.

Desde entonces, los atacantes de Emotet han lanzado spam malicioso. Según una publicación de blog separada publicada el martes, la firma de seguridad Intezer también dijo que está experimentando un fuerte aumento, con un 40% de las muestras analizadas por sus clientes comerciales y usuarios de la comunidad clasificadas como Emotet.

«En un mundo donde todo es aparentemente impredecible, parece que podemos contar con Emotet para mantenernos alerta», escribieron los investigadores de Intezer. «Esto no debería impedirnos ser más estratégicos en la forma en que adaptamos nuestro enfoque para facilitar la identificación de esta amenaza».

Deja una respuesta

Tu dirección de correo electrónico no será publicada.