¿Qué es Emotet? ¿Cómo puedo protegerme?

Consejos de ciberseguridad contra el malware más peligroso del mundo, Emotet

+++ CUIDADO: EMOTET VUELVE A ESTAR ACTIVO +++

No corras riesgos: protégete de Emotet con
Advanced Threat Protection de Hornetsecurity.

 

Los expertos del Security Lab de Hornetsecurity observan el regreso de Emotet después de una larga pausa.

El nombre Emotet aparece repetidamente en las noticias en relación con ciberataques realmente graves contra empresas, administraciones, hospitales y universidades. En 2019, el BSI (Oficina Federal de Seguridad Informática en Alemania) llamó a Emotet el malware más peligroso del mundo, porque el malware Emotet ha causado daños que ascienden a millones de dólares ¿Qué hace a Emotet tan amenazante? ¿Cómo puedes protegerte de él? Hornetsecurity te explicará en qué consiste, basándose en los análisis de sus expertos en ciberseguridad.

¿Qué es Emotet?

¿ Qué es Emotet?

¿Qué es Emotet? ¿Es Emotet un virus? No. Emotet apareció por primera vez como un  troyano bancario en 2014. El ataque tenía como objetivo interceptar los datos de acceso de los clientes de bancos alemanes y austríacos. Mientras tanto, Emotet fue capaz de recargar y ejecutar una gran variedad de otros módulos con otras funciones maliciosas.

El malware Emotet ataca principalmente a través de correos electrónicos no deseados y afecta a los usuarios privados, así como a empresas, hospitales, instituciones gubernamentales e infraestructuras críticas.

Adapta y automatiza los métodos de ataques de amenazas persistentes avanzadas altamente profesionales. Los hackers tienen objetivos muy claros y son capaces de infectar un sistema durante mucho tiempo. Por ello, Emotet no es fácil de identificar e interceptar.

Un aspecto  que hace que Emotet sea particularmente peligroso: desde finales de 2018, el malware ha sido capaz de analizar los contactos y el contenido de correos de los buzones de los sistemas infectados utilizando la llamada “Outlook Harvesting” con el fin de lanzar más ataques sobre esta base. La propagación es extremadamente rápida. Otros destinatarios recibirán correos electrónicos verdaderos de personas con las que estuvieron recientemente en contacto.

Los archivos adjuntos malintencionados o las direcciones URL contenidas en el mensaje se abren sin cuidado. Además de este módulo de spam, Emotet también puede cargar un módulo de gusano, lo que le permite propagarse de forma independiente en la red de la empresa.   Esto hace que se propague a otros equipos sin necesidad de que los usuarios hagan clic y activen un archivo adjunto.

En este contexto, Emotet también lleva a cabo ataques de fuerza bruta con el objetivo de hackear contraseñas. Esto puede tener graves consecuencias. Una vez que el equipo está infectado, Emotet descarga malware adicional a través de servidores C&C, dependiendo del objetivo. Existe el riesgo de robo de datos, pérdida de control sobre los sistemas, fallo de toda la infraestructura de TI y restricciones en los procesos empresariales críticos.  En casos extremos, las redes de toda una empresa deben reconstruirse después de la infección.  Los daños a menudo equivalen a millones en pérdidas.

Maestro del disfraz: ¿Por qué Emotet es tan difícil de derrotar?

Los troyanos Emotet no son  fáciles de identificar e  interceptar, ya que engañan a los productos antivirus tradicionales: Como un virus polimórfico, el código cambia ligeramente con cada nueva recuperación para evitar ser detectado por escáneres de virus basados en firmas. Además, el virus detecta cuando se está ejecutando en una máquina virtual. Tan pronto como se registra en un entorno sandbox, el programa cae en un tipo de modo de espera y no realiza ninguna acción maliciosa durante ese momento.

Emotet, TrickBot y el ransomware Ryuk

Como se mencionó anteriormente, Emotet carga malware adicional después de una infección exitosa.    La alianza especialmente peligrosa se crea cuando se utiliza en conjunto con TrickBot y Ryuk: disfrazado en un documento de Word, Emotet penetra y espía una red corporativa cuando se ejecuta el archivo.  Como un «abridor de puerta», recarga el troyano bancario TrickBot, que entre otras cosas copia los datos de acceso a la cuenta. Pasa esta información al ransomware Ryuk, que es el último en ser cargado. Ryuk ahora cifra todos los archivos en el sistema que TrickBot y Emotet han clasificado previamente como sensibles o importantes.

¿Cómo te proteges de Emotet?

Para protegerse eficazmente de Emotet, es necesario centrarse en el punto de entrada principal del malware: la comunicación por correo electrónico. Hornetsecurity   Advanced Threat Protection detecta fácilmente malware con Emotet y Ryuk en correos electrónicos y pone en cuarentena a ambos programas maliciosos.   La primera instancia de análisis identifica al troyano Emotet. Los troyanos posteriores Ryuk y TrickBot se pueden desenmascarar utilizando el análisis de comportamiento dinámico en el sandbox de ATP. Los correos electrónicos que contienen el malware pérfido no se entregan a los destinatarios.

Además, debe procurarse un comportamiento atento y siempre con miras a salvaguardar la seguridad de la empresa:

  • Dado que Emotet a menudo se esconde en los archivos de Microsoft Office y necesita macros para instalar malware, tiene sentido no permitirlos. Tampoco son necesarios en las áreas privadas de la mayoría de los negocios. Pero si los necesitamos, sería posible permitir sólo macros firmados.
  • Las actualizaciones de seguridad implementadas deben instalarse inmediatamente para sistemas operativos, programas antivirus, navegadores web, clientes de correo electrónico y programas de uso empresarial.
  • Se recomienda hacer copias de seguridad de datos de manera regular.
  • La vigilancia es primordial: Incluso con remitentes supuestamente conocidos, uno debe tener cuidado con los archivos adjuntos de correos electrónicos, especialmente con documentos de Office y sus enlaces. En caso de duda, es aconsejable contactar con el remitente de un correo electrónico sospechoso y comprobar la credibilidad del contenido.
  • Los accesos a la propia red de la empresa deben supervisarse continuamente. De esta manera, se puede determinar de forma oportuna si se ha producido una infección por Emotet.

%

Pérdida sustancial de ingresos

%

Insolvencia

El ransomware es uno de los métodos más populares que usan los  ciberdelincuentes para conseguir grandes ganancias, pero también para causar  un inmenso daño financiero a sus víctimas.  Es un software de chantaje que entra en el sistema de una empresa, donde todos los archivos sensibles y confidenciales se cifran y sólo se liberan de nuevo con un rescate en forma de bitcoins.  Sin embargo, no siempre está claro si los archivos se liberan realmente después de que se haya realizado un pago.

 

Los principales objetivos de los hackers son: grandes empresas e instituciones gubernamentales, así como infraestructuras críticas. En el peor de los casos, la insolvencia de toda una empresa se ve amenazada después de un ataque. Otras de las posibles graves consecuencias son grandes pérdidas en el volumen de negocio de las compañías afectadas.

Más sobre Emotet

Z

Resumen del informe

El Infopaper resume las recomendaciones de los expertos de Hornetsecurity. Descárgatelo ahora y descubre qué es el Emotet, qué hace exactamente que el malware Emotet sea tan peligroso, y cómo los usuarios pueden protegerse.

Aprende más de Emotet

Puedes encontrar más información sobre Emotet en nuestro nuevo blog «Emotet ha vuelto«. Como protección fiable contra  Emotet, Hornetsecurity recomienda el servicio de Advanced Threat Protection.

Más información en nuestro blog

Providence Strategic Growth y Verdane invierten en Hornetsecurity

Providence Strategic Growth y Verdane invierten en Hornetsecurity

LONDRES, OSLO Y HANÓVER – 28 JULIO DE 2020 – Providence Strategic Growth («PSG»), la filial de capital de crecimiento de la principal firma de gestión de activos Providence Equity Partners («Providence»), y Verdane, el inversor especializado en capital de crecimiento del norte de Europa, han anunciado hoy que han llegado a un acuerdo definitivo para invertir en Hornetsecurity Group («Hornetsecurity»), uno de los principales proveedores europeos de seguridad de correo electrónico y protección de datos basados en la nube, por el que las filiales de PSG se convierten en nuevos accionistas de la compañía mientras que Verdane vuelve a invertir.
Secuestro de hilos de correo

Secuestro de hilos de correo

Abrir archivos adjuntos y enlaces únicamente de remitentes conocidos es una recomendación habitual para prevenir ataques de malware y suplantación de identidad perpetrados mediante correo electrónico. Sin embargo, en este artículo describimos una técnica de ataque denominada «secuestro de hilos de correo» que explota hilos de correo previos de las víctimas y, de este modo, relaciones de confianza con las mismas para propagarse. En estos casos, el consejo mencionado ya no sirve. Aquí explicaremos el modo en que los atacantes se sirven del secuestro de hilos de correo y cómo éste incrementa de modo dramático la probabilidad de que las víctimas abran enlaces o archivos adjuntos maliciosos.
Emotet: ahora más sigiloso

Emotet: ahora más sigiloso

El Security Lab de Hornetsecurity ha observado un incremento del 1000% en las descargas del cargador de Emotet. El aumento en las descargas del cargador de Emotet está relacionado con un cambio de compresor que provoca que el cargador sea detectado con menor frecuencia por los antivirus. Los datos que hemos recopilado apuntan a que el aumento en las descargas de Emotet se debe al hecho de que éste se detecta con menor frecuencia. Esto reduce la probabilidad de que los mecanismos de seguridad bloqueen sus URLs de descarga. Nuestros datos, sin embargo, también indican que los proveedores de antivirus ya están resolviendo el problema de detección, por lo que la tasa de detección del cargador de Emotet debería aumentar y el número de descargas debería reducirse. Este análisis muestra el efecto causado por los cambios en el compresor del cargador de Emotet.

Hornet News – noticias exclusivas sobre ciberseguridad – una vez al mes

Clientes satisfechos con los servicios de Hornetsecurity en diversos sectores

Miles de PYMES & empresas y organizaciones usan las soluciones Hornetsecurity
Más de 40.000 empresas usan nuestros servicios

Estos clientes confían en los servicios de Hornetsecurity

Hornetsecurity References
Referencias sector logístico y servicios
Referencias 2020 Finanzas e investigación