Emotet, el notorio malware de Windows basado en correo electrónico que está detrás de varias campañas de spam y ataques de ransomware impulsados por botnets, se eliminó automáticamente de las computadoras infectadas en masa después de una operación policial europea.
El desarrollo se produce tres meses después de una interrupción coordinada de Emotet como parte de la » Operación Ladybird » para tomar el control de los servidores utilizados para ejecutar y mantener la red de malware. El esfuerzo orquestado vio al menos 700 servidores asociados con la infraestructura de la botnet neutralizados desde adentro, evitando así una mayor explotación.
Las autoridades policiales de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania participaron en la acción internacional.
Anteriormente, la policía holandesa, que incautó dos servidores centrales ubicados en el país, dijo que había implementado una actualización de software para contrarrestar la amenaza que representaba Emotet de manera efectiva. «Todos los sistemas informáticos infectados recuperarán automáticamente la actualización allí, después de lo cual la infección Emotet se pondrá en cuarentena», señaló la agencia en enero.
Esto implicó enviar una carga útil de 32 bits llamada » EmotetLoader.dll » a través de los mismos canales que se utilizaron para distribuir el Emotet original a todas las máquinas comprometidas. La rutina de limpieza, que se configuró para activarse automáticamente el 25 de abril de 2021, funcionó eliminando el malware del dispositivo, además de eliminar la clave de registro de ejecución automática y finalizar el proceso.
Ahora, el domingo, la empresa de ciberseguridad Malwarebytes confirmó que su máquina infectada con Emotet que había recibido la carga útil de las fuerzas del orden había iniciado con éxito la rutina de desinstalación y se había eliminado del sistema Windows.
Al momento de escribir, Feodo Tracker de Abuse.ch muestra que ninguno de los servidores de Emotet está en línea.
La acción masiva marca la segunda vez que las fuerzas del orden intervienen para eliminar el malware de las máquinas comprometidas.
A principios de este mes, el gobierno de los EE. UU. Tomó medidas para eliminar las puertas traseras de shell web que dejó el actor de amenazas Hafnium de los servidores de Microsoft Exchange ubicados en el país que fueron violados utilizando exploits ProxyLogon.
Tras la operación autorizada por el tribunal , la Oficina Federal de Investigaciones dijo que está en proceso de notificar a todas las organizaciones de las que había eliminado web shells, lo que implica que la agencia de inteligencia accedió a los sistemas sin su conocimiento.
