En un hilo de Twitter el sábado pasado, el experto en seguridad informática Marcus Hutchins, conocido como MalwareTech , dijo que las botnets que han estado inactivas durante varios meses se han reactivado.
Una botnet que describió como E2, por ejemplo, tiene un módulo diseñado para robar datos de correo electrónico, mientras que otro apunta a las credenciales del sistema. Aunque originalmente surgió como un troyano bancario similar a Trickbot y ya ha sido reescrito varias veces antes, Hutchins señaló que Emotet parece haber sufrido una revisión completa.
Hashbusting entra en juego
Entre las técnicas integradas en los módulos de botnet E2 está el hashbusting. Al asegurarse de que el hash de cada archivo de malware se ve diferente en cada sistema que infecta, se hace más difícil rastrearlo, explicó Hutchins.
Los ciberdelincuentes detrás de la variante también han simplificado la mutación del malware al ofuscar el flujo de código a través de una máquina de estado, agregó.
Esto significa que un valor de estado aleatorio puede controlar el flujo de bloques de código. Se colocan de manera arbitraria, lo que aumenta los desafíos para los líderes de seguridad y sus equipos. Los autores del malware logran esto al aplanar las ramas en bucles anidados.
Todo esto significa que quien haya actualizado el malware puede estar preparándose para lanzar una campaña de ataque, concluyó Hutchins.
Emotet se ha convertido en una herramienta popular para los hackers. A principios de este mes, Microsoft informó un ataque en el que el malware derribó toda una red . En febrero, otra variante era usar redes de área local inalámbricas (WLAN) como método de distribución .
Protégete de las variantes de Emotet
Al igual que muchas amenazas cibernéticas similares, Emotet ha sido impulsado en gran medida por correos electrónicos de phishing que engañan a las víctimas para que hagan clic en un enlace que lanza el malware.
Si bien la capacitación sobre conciencia de seguridad puede ayudar aquí, los equipos de seguridad de TI pueden mejorar sus posibilidades de detectar actividades sospechosas mediante el uso de las capacidades de registro y alerta de una solución de información de seguridad y gestión de eventos (SIEM). La implementación de la autenticación multifactor (MFA) es otra práctica recomendada que vale la pena aplicar.
Fuente y redacción: securityintelligence.com
