Desmantelada la red de bots Emotet

Desmantelada la red de bots Emotet

por | Ene 28, 2021 | Blog, Threat Research

Resumen

El 27 de enero de 2021 Europol anunció que, una acción judicial y policial coordinada a nivel mundial, ha desarticulado la red de bots Emotet. Los investigadores han tomado el control de la infraestructura del malware. Si tiene éxito, esto podría significar el fin de Emotet: su botnet, malspam (malware + spam)  y operación de carga de malware. Aunque la situación aún está en desarrollo, podemos confirmar que la infraestructura de la botnet Emotet está interrumpida. Las víctimas serán notificadas por los CERTs de los países responsables y deberán tomar las medidas oportunas para limpiar su malware, Emotet. Además de las infecciones secundarias, para evitar que siga activo el malware que fue descargado por Emotet y desplegar el ransomware.

Antecedentes

Emotet (también conocido como Heodo) se observó por primera vez en 2014. Se trataba de un troyano bancario que robaba datos bancarios y credenciales de inicio de sesión de las víctimas. Pero pasó a ser una operación de malware como servicio (MaaS) que proporciona servicios de distribución de malware a otros ciberdelincuentes. En la actualidad, Emotet es probablemente la operación de distribución de malware más prolífica. Para ello, roba los correos electrónicos y responde a las conversaciones anteriores de la víctima. Esto se conoce como secuestro del hilo de conversación del correo electrónico5 . Hornetsecurity ha escrito numerosas entradas de blog sobre Emotet2,3,4,5.

¿Qué ha pasado?

La cooperación internacional de las fuerzas de seguridad y judiciales de todo el mundo, coordinado por Europol y Eurojust, ha desmantelado la red de bots Emotet. En esta operación han participado las siguientes autoridades:

  • Holanda: Policía nacional (Politie), National Public Prosecution Office (Landelijk Parket)
  • Alemania: Policía federal (Bundeskriminalamt), Fiscalía General Frankfurt/Main (Generalstaatsanwaltschaft)
  • Francia: Policía nacional (Police Nationale), Tribunal Judicial de París (Tribunal Judiciaire de Paris)
  • Lituania: Oficina de la Policía Criminal de Lituania (Lietuvos kriminalinės policijos biuras), Fiscalía General de Lituania
  • Canadá: Royal Canadian Mounted Police
  • Estados Unidos: Federal Bureau of Investigation, U.S. Department of Justice, US Attorney’s Office for the Middle District of North Carolina
  • Gran Bretaña: National Crime Agency, Crown Prosecution Service
  • Ucrania: Policía nacional de Ucrania (Національна поліція України), de la Fiscalía General (Офіс Генерального прокурора).

Los investigadores obtuvieron el control de la infraestructura de un sospechoso ubicado en Ucrania. La comunicación C2 de Emotet ha sido desenmascarada y la información de las víctimas conectadas ha sido entregada a los CERTs responsables del país, que notificarán a las víctimas para que puedan limpiar la infección.

La Policía Nacional holandesa también ha obtenido una base de datos con direcciones de correo electrónico, nombres de usuario y contraseñas robadas por Emotet a lo largo de los años. Ofrecen un sitio web para comprobar si una dirección de correo electrónico ha sido comprometida en http://www.politie.nl/emocheck.

Emotet «uninstaller»

Además, la policía criminal federal de Alemania (Bundeskriminalamt (BKA)) está distribuyendo un programa para eliminar la botnet Emotet que desinstalará el malware el 25-03-2021 a las 12:00.

El programa creará una marca de tiempo para el 5-03-2021 a las 12:00.

Marca de tiempo para desinstalar

El programa generará un hilo que en un bucle dormirá durante 1000 minutos (16,6 horas) hasta que llegue el momento de desinstalar Emotet.

Hilo para desinstalar Emotet

Una vez llegado el momento de desinstalar Emotet, la clave de registro y su servicio se eliminan. El binario de Emotet se mueve a una ruta de archivo temporal, que lo pone en cuarentena para posibles investigaciones DFIR en el sistema infectado.

Desistalación de Emotet

La razón más probable por la que Emotet no se ha eliminado inmediatamente es para permitir que las partes afectadas realicen investigaciones DFIR. El objetivo es descubrir el malware potencialmente secundario que se desplegó a través de Emotet.

A nuestro entender, las acciones de «sinkholing» y «desinstalación» se llevan a cabo bajo los auspicios de la Policía Criminal Federal alemana (BKA), por lo que las direcciones IP del sinkhole son propiedad del ISP alemán Deutsche Telekom.

¿Qué ocurrirá después?

Aunque nuestros filtros de correo siguen detectando correos electrónicos esporádicos que contienen documentos maliciosos de Emotet, es probable que se trate de correos que todavía estaban en las colas de los «spambots» de Emotet o de los sistemas de correo electrónico y que acaban de ser entregados; a pesar de que la infraestructura de la red de bots de Emotet ha sido interrumpida.

Diagrama de malspam de Emotet

Esperamos que los restos de malspam de Emotet, que salen de la moribunda red de bots Emotet, terminen en los próximos días, semanas y, si el desmantelamiento tiene éxito, se detengan por completo.

Aunque siempre existe la posibilidad de que una red de bots pueda reagruparse después de una interrupción (véase TrickBot), esto, sin embargo, parece poco probable en este caso, ya que no sólo se han interrumpido los servidores proxy C2 de nivel 1 (como fue el caso de la interrupción de la red de bots TrickBot), sino que – según nuestra información también se ha interrumpido el servidor C2 de nivel 2, es decir, el servidor C2 real, al que los servidores proxy C2 de nivel 1 sólo retransmitían el tráfico.

¿Quién llenará el vacío?

Emotet constituía alrededor del 20% del tráfico de correo electrónico malicioso procesado por Hornetsecurity. Distribuía malware de otros actores de la amenaza. Si bien el desmantelamiento de Emotet significará que no habrá más correo maliciosos, probablemente no significará una disminución del mismo, ya que otros actores de amenazas tratarán de llenar el vacío y tomar la base de clientes existente de la operación de malware como servicio (MaaS) de Emotet.

Un fuerte competidor para llenar el vacío generado por la interrupción de Emotet es QakBot10. El año pasado QakBot añadió el secuestro de hilos de conversación por correo electrónico5 a su arsenal, es decir, al igual que Emotet, roba los correos electrónicos de las víctimas y crea malspam no adaptado respondiendo a hilos de conversación de correo electrónico existentes. También se ha observado que QakBot carga otro malware, como ZLoader.sup>8 Además, los documentos maliciosos basados en macros XLM de QakBot7 suelen tener una tasa de detección más baja que los documentos maliciosos basados en macros VBA de Emotet. Por lo tanto, cumple con todos los requisitos que un cibercriminal tendría hacia un reemplazo de Emotet.

Conclusión y contramedidas

Felicitamos a todas las partes participantes y esperamos que la toma de posesión de Emotet sea un éxito a largo plazo.

Mientras que el propio Emotet puede ser inoperable, otras amenazas que Emotet ha cargado previamente como TrickBot6, QakBot7, o Zloader8 permanecen activos y podrían seguir desplegando ransomware como Ryuk y Egregor. Si las autoridades te informan de una infección de Emotet, también debes limpiar estas posibles infecciones secundarias para mitigar la amenaza completa.

En caso de que la red de bots Emotet pueda recuperarse, el programa de Hornetsecurity Spam and Malware Protection, con las tasas de detección más altas del mercado, volverá a detectar y poner en cuarentena, como antes de la interrupción, los documentos maliciosos de Emotet.

Referencias

Indicadores de compromiso (IOCs)

IPs

Estas son las IPs utilizadas por la Policía Criminal Federal Alemana (Bundeskriminalamt (BKA)) para hundir a Emotet.

  • 80.158.3.161:443
  • 80.158.51.209:8080
  • 80.158.35.51:80
  • 80.158.63.78:443
  • 80.158.53.167:80
  • 80.158.62.194:443
  • 80.158.59.174.8080
  • 80.158.43.136:80

Hashes

Este es el hash del programa distribuido por la Policía Criminal Alemana (Bundeskriminalamt (BKA)) para eliminar Emotet el 25-03-2021 a las 12:00.

MD5 Descripción
9a062ead5b2d55af0a5a4b39c5b5eadc Emotet «uninstaller»
365 Total Protection ha sido galardonado con el premio “Computing Security 2020“

365 Total Protection ha sido galardonado con el premio “Computing Security 2020“

por | Dic 21, 2020 | Blog, Services, Servicios

El 10 de diciembre de 2020 los ganadores de los premios “Computing Security“ de este año fueron anunciados en directo en YouTube.

Hornetsecurity tiene motivos para estar de celebración porque su servicio 365 Total Protection fue nombrado como ganador en la categoría «Editor’s Choice»

El servicio 365 Total Protection Suite de Hornetsecurity ofrece una gestión de seguridad del correo electrónico diseñada específicamente para las cuentas Microsoft 365. Los clientes de M365 se benefician de una protección completa, así como de una gestión de seguridad de TI simplificada.

Los editores de la revista británica Computing Security reconocieron a 365 TP como una solución altamente eficiente, que complementa el servicio en la nube de Microsoft con mecanismos de seguridad críticos.

Microsoft 365 como objetivo de los ciberataques

Microsoft 365 es utilizado por más de un millón de empresas en todo el mundo. Sólo en los EE.UU., más de 650.000 empresas dependen de este software en sus operaciones diarias. En la nube de Microsoft 365 se intercambian grandes cantidades de datos sensibles cada día. Los ciberdelincuentes también son conscientes de esto. La compañía reportó un incremento del 250 por ciento en los ataques dirigidos ya a principios de 2020.

Si además se tiene en cuenta que el 95 por ciento de todos los ciberataques a empresas comienzan con un correo electrónico, entonces queda claro: la protección adecuada para la comunicación por correo electrónico es extremadamente importante, y 365 Total Protectiones la solución ideal.

365 Total Protection reconocida como “Editor’s Choice“ del año

El premio se basa en una prueba detallada del producto, que se puede descargar gratuitamente.

El resumen de los editores dice:

«Hornetsecurity ofrece una solución rentable y altamente eficiente. Su servicio en la nube 365 Total Protection proporciona una gran cantidad de medidas de seguridad para el correo electrónico, que incluye protección basada en la inteligencia de la IA, lo que le permite evolucionar a medida que surgen nuevas amenazas».
365 Total Protection combina todas las características de seguridad necesarias que requiere una gestión de la seguridad del correo electrónico totalmente integral. Entre ellas se incluyen el seguimiento directo de correo electrónico, la defensa contra amenazas y el cifrado global S/MIME y PGP. En la versión para empresas, se añaden características adicionales como Malware Ex-Post Alert, el Sandboxing ATP y el archivado de correo electrónico. La empresa utiliza mecanismos de filtrado inteligente en sus soluciones de protección, que permiten la detección y el filtrado eficaces de cualquier ciberamenaza través del correo electrónico.
La revista Computing Security Magazine concluye su evaluación de la siguiente manera: «365 Total Protection de Hornetsecurity hace honor a su nombre, ya que ofrece una solución de seguridad inteligente para el correo electrónico que se integra perfectamente con Microsoft 365. Completa los agujeros de seguridad que deja Microsoft, y con precios para la versión Business que comienzan a partir de sólo 2 dólares por usuario al mes, es asequible para organizaciones de todos los tamaños».
Descargar gratis la revisión del producto

Más información:

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

por | Dic 17, 2020 | Blog, Seguridad de la información, Threat Research

Resumen ejecutivo

  • FireEye descubrió un ataque global de tipo troyano a la cadena de suministro de la Plataforma Orión de SolarWinds, a causa de una puerta trasera que FireEye llamó SUNBURST.
  • Versiones afectadas: plataforma SolarWinds Orion, versiones 2019.4 HF 5, 2020.2 (sin ningún hotfix instalado), 2020.2 HF 1
  • Versión corregida: Plataforma SolarWinds Orion versión 2020.2.1 HF 2
  • Aunque las versiones troyanas de la Plataforma Orión de SolarWinds se han difundido ampliamente entre organizaciones públicas y privadas de todo el mundo, la información actual indica que la puerta trasera de SUNBURST fue utilizada para el espionaje por un estado nacional y sólo se usó para infiltrarse en un grupo selecto de víctimas. Otros daños colaterales ocurrieron al  instalar las versiones troyanas de la Plataforma Orión de SolarWinds .
  • Para saber si estás afectado (más allá de comprobar las versiones instaladas de la Plataforma Orion de SolarWinds) comprueba los registros DNS consultando avsvmcloud[.]com o.digitalcollege[.]org (¡Incluyendo subdominios!).
  • Hornetsecurity no se ve afectada y no utiliza productos de SolarWinds.
  • Debido a que se trata de un incidente global en curso, comprueba los enlaces a los siguientes recursos para obtener información e imágenes actualizadas.

Resumen

El 13 de diciembre de 2020, FireEye reveló una puerta trasera en las actualizaciones de la Plataforma Orión de SolarWinds. Las organizaciones afectadas deben actualizar la versión corregida de manera inmediata.

La puerta trasera es parte de una operación de espionaje global y se utiliza para acceder a las redes del Gobierno y de empresas privadas de alto perfil.

Hornetsecurity evaluó su situación y no se ve afectada.

Antecedentes

La Plataforma Orion de SolarWinds es el líder del mercado de monitorización de redes, con más de 275.000 clientes en 190 países y proporcionando monitorización de redes a 400 de las empresas de la lista Fortune 500, el gobierno de EE.UU. y otras organizaciones de alto perfil.

El 13 de diciembre de 2020, FireEye reveló que durante el periodo comprendido entre el 01-03-2020 y 01-06-2020, las actualizaciones de la Plataforma Orión de SolarWinds fueron troyanizadas, por ello, lo llamaron la puerta trasera de SUNBURST.3 Previamente el 18-12-2020 FireEye  reveló una brecha de seguridad en su propia organizaciónn,2 para la que más tarde se identificó la actualización de la Plataforma Orión de SolarWinds como el vector de intrusión.

FireEye atribuye esta intrusión a un actor de amenaza aún desconocido que están rastreando como UNC2452. Aunque muchos medios de comunicación informan de esta intrusión atribuida al APT29, creemos que esto es incorrecto ya que el APT29 es un actor de amenaza designado por el propio FireEye pero aún así no lo han atribuido directamente al APT29.

El 14-12-2020  SolarWinds publicó un aviso de seguridad1 en relación a este asunto.

Análisis técnico

La puerta trasera deSolarWinds.Orion.Core.BusinessLayer.dll del software de la plataforma de SolarWinds Orion, espera después de la instalación una cantidad  entre 12 y 14 días – seleccionada al azar – antes de ejecutar su código malicioso.  Intenta establecer una comunicación C2 usando un algoritmo de generación de nombres de dominio (DGA) to <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com. El código <ENCODED VICTIM HOSTNAME> de la parte del subdominio contiene el nombre del host codificado de las víctimas. Puede ser decodificado usando una herramienta proporcionada por RedDrip77

Los registros de subdominio correspondientes a los nombres de host de las víctimas a las que se dirigía la intrusión recibieron una respuesta DNS CNAME que los redirigió a uno de los dominios C2. Las víctimas que no eran el objetivo no recibieron un CNAME.6Aunque se trata de un ataque a gran escala a la cadena de suministro, la información actual indica que el propósito de la intrusión es el espionaje llevado a cabo por un estado nacional. Esto significa que mientras (según los archivos de la SEC de SolarWinds 8) alrededor de 18.000 víctimas instalaron las actualizaciones comprometidas, sólo una fracción muy pequeña fue realmente el objetivo de este ataque, el resto son daños colaterales.

En las organizaciones seleccionadas, la puerta trasera se utiliza como puente en la red de la organización, mediante la instalación de la TEARDROP y BEACON (del marco de Cobalt Strike) malware para infiltrarse aún más en la red.

Conclusión y medidas

A diferencia del ataque a la cadena de suministro contra el paquete de contabilidad fiscal ucraniano M.E.Doc, que dio lugar al incidente global de NotPetya en 2017, el objetivo de esta intrusión era el espionaje. Por lo tanto, sólo redes de objetivos seleccionados fueron instruidas a través de la puerta trasera de SUNBURST, del software comprometido de la Plataforma Orion de SolarWinds.

Las organizaciones que hayan instalado una versión de la Plataforma Orión de SolarWinds afectada deben tratar a todos los anfitriones monitoreados por la Plataforma Orión de SolarWinds como comprometidos, identificar todas las cuentas e infraestructuras controladas por los actores de la amenaza dentro de la organización y eliminarlas, y sólo entonces reconstruir la instalación de la Plataforma Orión de SolarWinds. Las organizaciones con requisitos de protección elevados pueden seguir la guía de la Directiva de Emergencia 21-01 del DHS4 (obviamente sin informar al CISA, a menos que la organización sea parte del gobierno de los EE.UU).

Un buen punto de partida para identificar la actividad de los actores de la amenaza es buscar los IoCs proporcionados por FireEye3,5 en los registros DNS. En caso de que los DNS consulten a uno de los <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com subdominios encontrados, puedes usar SunBurst DGA Decoder provided by RedDrip77 para averiguar qué nombre de host, ejecutó tu red por puerta trasera SUNBURST. En caso de que encuentres respuestas CNAME a estas consultas DNS, esto significaría que además de ejecutar el código de puerta trasera, los actores de la amenaza están/estaban interesados en el host y elevaron la conexión a una conexión C2 completa. En este último caso, recomendamos contactar inmediatamente con un proveedor de respuesta a incidentes competente.

Aplaudimos a nuestros colegas de FireEye por sus minuciosas investigaciones.

Referencias

Indicadores de compromiso (IoCs)

Para una lista completa de IoCs y firmas de detección, por favor vea las contramedidas publicadas por FireEye: https://github.com/fireeye/sunburst_countermeasures

DNS

  • .avsvmcloud[.]com
  • .appsync-api.eu-west-1[.]avsvmcloud[.]com
  • .appsync-api.us-west-2[.]avsvmcloud[.]com
  • .appsync-api.us-east-1[.]avsvmcloud[.]com
  • .appsync-api.us-east-2[.]avsvmcloud[.]com
  • .digitalcollege[.]org

¡Indicadores conocidos solamente a partir del 16-12-2020! Por favor, para obtener información actualizada comprueba los recursos vinculados.