Emotet es una de las amenazas de malware más peligrosas y extendidas activas en la actualidad.
Desde su descubrimiento en 2014, cuando Emotet era un ladrón de credenciales estándar y un troyano bancario, el malware se ha convertido en una plataforma modular y polimórfica para distribuir otros tipos de virus informáticos.
Emotet, que se encuentra en constante desarrollo, se actualiza regularmente para mejorar el sigilo, la persistencia y agregar nuevas capacidades de espionaje.
Este notorio troyano es uno de los programas maliciosos que se encuentran con mayor frecuencia en la naturaleza. Por lo general, es parte de un ataque de phishing, correo no deseado que infecta las PC con malware y se propaga entre otras computadoras en la red.
Si desea obtener más información sobre el malware, recopilar IOC y obtener muestras nuevas, consulte el siguiente artículo en el rastreador de tendencias de malware , el servicio con artículos dinámicos.
Emotet es el malware más cargado en los últimos años. A continuación se muestra la calificación de las cargas a ANY.RUN servicio en 2019, donde los usuarios ejecutaron más de 36000 sesiones interactivas de análisis de malware Emotet en línea.
El malware ha cambiado mucho con el tiempo y, con cada nueva versión, se vuelve cada vez más amenazante para las víctimas. Echemos un vistazo más de cerca a cómo evolucionó.
Cuando era como cualquier otro troyano bancario estándar, el objetivo principal del malware era robar las credenciales de las pequeñas empresas, principalmente en Alemania y Austria. Al falsificar facturas u otros documentos financieros, los usuarios hicieron clic en los enlaces y dejaron entrar al malware.
Más tarde ese año, adquirió una arquitectura modular diversa, cuyo enfoque principal era descargar una carga útil de malware, propagarse a tantas máquinas como fuera posible y enviar correos electrónicos maliciosos para infectar a otras organizaciones.
A principios de 2015, después de un pequeño descanso, Emotet volvió a aparecer. La clave pública RSA, las nuevas listas de direcciones y el cifrado RC4 se encuentran entre las nuevas características de Trojan. A partir de este punto, el rango de víctimas comenzó a aumentar: los bancos suizos se unieron a él. Y, en general, se mejoraron mucho las técnicas de evasión.
En versiones recientes, ha ocurrido un cambio significativo en la estrategia. Emotet se ha convertido en malware polimórfico, descargando otros programas maliciosos a la computadora infectada y también a toda la red. Roba datos, se adapta a varios sistemas de detección, alquila los hosts infectados a otros ciberdelincuentes como un modelo de Malware-as-a-Service.
Dado que Emotet utiliza correos electrónicos robados para ganarse la confianza de las víctimas, el spam se ha mantenido como el principal método de entrega de Emotet, lo que lo hace convincente, altamente exitoso y peligroso.
Por ejemplo, en 2018, el sistema gubernamental sufrió una infección por Emotet en Allentown, una ciudad en el este de Pensilvania, que les costó $ 1 millón para recuperarse.
Toda la ciudad de Frankfurt tuvo que cerrar la red debido a Emotet en 2019. Diferentes tipos de organizaciones, desde el gobierno hasta las pequeñas empresas, todos los servicios públicos se vieron obligados a detener su trabajo a través de TI.
Según las últimas investigaciones, Emotet es una amenaza mundial que afecta a todo tipo de esferas. Solo mira el siguiente mapa, Italia, España y los Emiratos Árabes Unidos son los principales países con los usuarios más atacados.
Recientemente, las empresas de ciberseguridad de Francia, Japón y Nueva Zelanda han anunciado un aumento en los ataques Emotet dirigidos a sus países.
Emotet antes y ahora
Según un gráfico de las muestras de Emotet cargadas en el servicio ANY.RUN, puede ver el comportamiento del malware en 2019 y 2020.
Podemos notar algunas similitudes en su actividad. Por ejemplo, en junio, Emotet tiende a estar en declive. Sin embargo, parece mostrar una tendencia creciente desde agosto hasta octubre. En 2019, el final del año fue muy activo para este tipo de ataque, por lo que podemos esperar que este año también esté en aumento.
Emotet ha sido una amenaza durante años, ya que cambia permanentemente. Las primeras versiones difieren de la actual, incluso por sus intenciones: Emotet se ha desarrollado desde el troyano bancario hasta el cargador. En lo que respecta a la evolución de la ejecución y las plantillas de documentos, describiremos solo las versiones posteriores a 2018. Hubo cambios incluso durante estos dos años, pero lo único que permanece sin cambios es la entrega.
Para la distribución y ejecución del usuario, Emotet utiliza spam malicioso y documentos con macros VBA. Después de que un objetivo descarga los documentos maliciosos adjuntos de un correo electrónico y los abre, el documento de Office engaña al usuario para que habilite la macro. Después de eso, la macro incrustada comienza su ejecución y los escenarios posteriores pueden variar. La variante más común en los últimos años es que las macros inician un script Powershell codificado en Base64 que luego descarga un ejecutable. Pero en este punto, Emotet trae muchas ejecuciones diferentes.
Muchas variantes cobran vida cuando hablamos de los pasos iniciales después de que se abrió un maldoc. La macro de VBA en los documentos de Office puede iniciar cmd, Powershell, WScript y, últimamente, por primera vez, la cadena de ejecución de Emotet utilizó Сertutil.
Otros cambios en el proceso de ejecución ocurrieron en la cadena entre documentos maliciosos y archivos ejecutables caídos / descargados.
No solo la cadena de ejecución se ha transformado con el tiempo, sino también el archivo ejecutable de Emotet: claves de registro, archivos y procesos secundarios en el sistema de archivos. Por ejemplo, en los años 2018-2019, Emotet colocó su ejecutable en la carpeta bajo una ruta particular y generó un nombre de archivo y el nombre de una carpeta usando un algoritmo particular.
Cambió el algoritmo de generación de nombres de archivos, el árbol de procesos y el algoritmo de generación de rutas para la comunicación C2.
Otra gran parte que caracteriza a esta familia de malware son las plantillas de maldocs que utiliza. Están cambiando continuamente y, la mayoría de las veces, Emotet usa las suyas propias. Pero entre ellos también se pueden encontrar plantillas que anteriormente se usaban para distribuir otras familias de malware como Valak e Icedid.
Emotet desde la perspectiva de ANY.RUN
Por supuesto, el principal desafío con Emotet es encontrar la manera de identificarlo y comprender su comportamiento, para que después de eso, puedas mejorar los puntos débiles en seguridad.
Hay una herramienta que puede ayudarte con eso. ANY.RUN es un sandbox en línea interactivo que detecta, analiza y monitorea las amenazas de ciberseguridad, necesarias si se trata de Emotet.
Además, ANY.RUN tiene una herramienta especial: la búsqueda de presentaciones públicas . Es una amplia base de datos donde los usuarios comparten sus investigaciones. Y muy a menudo, Emotet se convierte en el «héroe» del día: tiene una posición de liderazgo de las muestras más descargadas en ANY.RUN. Es por eso que la experiencia de ANY.RUN con el malware es interesante.
El primer paso para proteger su infraestructura de la infección Emotet es detectar el malware. ANY.RUN sandbox tiene excelentes herramientas para la detección y el análisis de Emotet.
El servicio en línea se ocupa de Emotet con regularidad. Entonces, probemos el enfoque interactivo para la detección de Emotet e investiguemos una de las muestras juntos:
Aquí hay un archivo adjunto malicioso del correo electrónico de phishing que cargamos en ANY.RUN y obtenemos los primeros resultados de inmediato. El árbol de procesos de la derecha refleja todas las operaciones que se realizaron.
Como se muestra, el primer proceso comienza para crear nuevos archivos en el directorio de usuarios. Luego, POwersheLL.exe se conecta a la red y descarga archivos ejecutables de Internet. El último, winhttp.exe cambia el valor de ejecución automática en el registro y se conecta al servidor de comando y control, tanto para recuperar instrucciones para actividades maliciosas posteriores como para extraer datos robados.
Y finalmente, Emotet fue detectado por la actividad de la red. Los conjuntos de reglas de Suricata frescos de proveedores premium como Proofpoint (Emerging Threats) y Positive Technologies son una gran parte del proceso de detección.
Además, ANY.RUN ofrece una útil función de red falsa. Cuando se enciende, devuelve un error 404 que obliga al malware a revelar sus enlaces C2 que ayudan a recopilar los IOC de Emotet de manera más eficiente. Eso ayuda a los analistas de malware a optimizar su tiempo, ya que no es necesario desofuscarlo manualmente.
Curiosamente, un conjunto de documentos maliciosos con la misma plantilla puede tener una macro VBA incorporada, lo que lleva a crear diferentes cadenas de ejecución. Todos ellos tienen el objetivo principal de engañar a un usuario que abrió este maldoc para habilitar la macro VBA.
Si desea echar un vistazo a todas esas plantillas, simplemente busque por etiqueta «emotet-doc» en CUALQUIERA. Envíos públicos de RUN: estos maldocs están agrupados por similitud de contenido.
Conclusión
Este tipo de tendencia demuestra que Emotet no se rendirá ni perderá terreno. Su evolución demostró que el malware se desarrolla muy rápidamente y se adapta a todo.
Si su empresa está conectada a Internet, los riesgos pueden ser más amplios y profundos de lo que cree. Por eso es cierto que combatir amenazas sofisticadas como Emotet requiere un esfuerzo concertado tanto de las personas como de las organizaciones.