Emotet ha vuelto

Emotet ha vuelto

Resumen

El pasado 17 de julio de 2020 los expertos del Security Lab de Hornetsecurity han detectado el regreso del malware Emotet en forma de malspam. El malspam de Emotet que estaba resurgiendo ya estaba bloqueado por las reglas de detección existentes. La actual ola de malspam de Emotet vuelve a utilizar documentos macro maliciosos que se propagan ya sea a través de archivos adjuntos o mediante enlaces de descarga maliciosos. Como de costumbre, las macros VBA del documento descargan el cargador de Emotet que el Security Lab de Hornetsecurity ha analizado previamente [EmotetLoader].

 

Antecedentes

Como se informó anteriormente, el regreso de Emotet era inevitable. La red de bots de Emotet no ha enviado malspam desde el 7 de febrero de 2020. Aunque hubo otras actividades en la red de bots, como se puede ver en la siguiente cronología, el Security Lab de Hornetsecurity no ha observado malspam desde el mes de febrero de este año.

Emotet recent eventsEl 17 de julio de 2020 nuevos correos electrónicos de Emotet fueron bloqueados por los sistemas de filtrado de correo electrónico de Hornetsecurity. Uno de esos correos electrónicos tiene el siguiente aspecto:

Emotet malspam email

El correo electrónico tiene un documento de Word adjunto, sin embargo, también existen otros correos electrónicos con enlaces de descarga maliciosos a los documentos de Word maliciosos. Al abrir el documento se le indica al usuario que haga clic en el botón «Enable Editing» (o como los autores de Emotet lo llaman «Enable Edition») y que haga clic en los botones del banner «Enable Content»:

Emotet DOC attachment

Si el usuario hace esto, se convierte en una victima directa de Emotet.

Análisis técnico

Como se informó anteriormente, la típica cadena de infección de Emotet es la siguiente:

Emotet infection chain

Ya informamos sobre el cargador de Emotet como parte de un análisis sobre sus actualizaciones. Como en ese momento Emotet no enviaba malspam, no pudimos esbozar los documentos maliciosos que se suelen utilizar en las infecciones de Emotet.

Las macros VBA están ofuscadas. El macro construirá un comando Powershell a partir de cadenas ofuscadas incrustadas en el macro VBA:

Emotet Powershell command

La de codificación del comando codificado en Base64 revela las 5 URL de descarga del cargador de Emotet:

Emotet download URLs

El documento intentará descargar el cargador de Emotet de cada una de estas 5 URLs:

Emotet DNS queries

En caso de que una de las 5 descargas tenga éxito, se ejecuta el cargador de Emotet, que hemos analizado previamente en otro artículo [EmotetLoader].

Conclusión y soluciones

A diferencia de lo que se especulaba anteriormente, Emotet no tiene nuevos trucos, al menos no cuando se trata de malspam.

Para protegerse contra el malware Emotet, el CERT de los EE.UU. recomienda «implementar filtros en la pasarela de correo electrónico para filtrar los correos electrónicos con indicadores de malspam conocidos» [USCERT].

El servicio Spam and Malware Protection de Hornetsecurity, con las tasas de detección más altas del mercado, ya ha detectado y bloqueado el malspam reemergente de Emotet. Asimismo, Advanced Threat Protection de Hornetsecurity amplía esta protección al detectar también ciberamenazas aún desconocidas.

Además de bloquear los correos electrónicos entrantes de Emotet, los defensores pueden utilizar la información pública disponible del equipo de Cryptolaemus, un grupo voluntario de personas del campo de seguridad informática que se unen para luchar contra Emotet. Proporcionan nueva información diariamente a través de su sitio web [CryptolaemusWeb]. Allí puedes obtener la última lista de IPs C2 para encontrar y/o bloquear el tráfico C2. Para actualizaciones en tiempo real puedes seguir su cuenta de Twitter [CryptolaemusTwitter].

Referencias

Indicadores de compromiso (IOCs)

Hashes

SHA256Descripción
99d8438c947cac7ca363037f1436ecab4e7fa4609c9c59f6fd5006a050d361aaDocumento malicioso
5d2c6110f2ea87a6b7fe9256affbac0eebdeee18081d59e05df4b4a17417492bDocumento malicioso
c5949244e5d529848c2323545a75eec34e6ba33c6519d46359b004d6717a68a5Documento malicioso

URLs

  • hxxps[:]//www.elseelektrikci[.]com/wp-content/hedk3/
  • hxxps[:]//www.rviradeals[.]com/wp-includes/LeDR/
  • hxxps[:]//skenglish[.]com/wp-admin/o0gf/
  • hxxps[:]//www.packersmoversmohali[.]com/wp-includes/pgmt4x/
  • hxxps[:]//www.tri-comma[.]com/wp-admin/MmD/

DNSs

  • www.elseelektrikci[.]com
  • www.rviradeals[.]com
  • skenglish[.]com
  • www.packersmoversmohali[.]com
  • www.tri-comma[.]com
Esperando el inevitable regreso de Emotet

Esperando el inevitable regreso de Emotet

Resumen

 

Es probable que Emotet sea el malware más prolífico dentro de las operaciones recientes de distribución de malware. Los hackers suelen cambiar su malware para asegurarse de que no es detectado por ningún software antivirus. A pesar de que la botnet Emotet se está actualmente tomando un descanso en la distribución de spam, se han detectado recientemente cambios en un componente del malware. En este artículo, los expertos del Security Lab de Hornetsecurity analizan la última versión de Emotet.

Emotet ha añadido nuevas técnicas de ofuscación de código para prepararse para sus próximas acciones.

Las actualizaciones del descargador de Emotet no afectan a los filtros de Hornetsecurity, ya que el descargador de Emotet nunca se envía adjunto a un correo electrónico. Sin embargo, el análisis aquí presentado y unos scripts de Ghidra descargables pueden ayudar a otros investigadores a iniciar su ingeniería inversa de Emotet a pesar de la ofuscación adicional.

 

Antecedentes

 

El malware ahora comúnmente conocido como Emotet fue observado por primera vez en 2014. Se trataba de un troyano bancario que robaba datos sensibles y credenciales de acceso a los bancos de sus víctimas. Además, llevó a cabo una campaña de malware como servicio (MaaS) que proporcionaba servicios de distribución de malware a otros ciberdelincuentes.

 

La cadena de infección de Emotet

 

En el siguiente diagrama de flujo se describe al menos el principio de la cadena de infección de Emotet y las tácticas y técnicas utilizadas según lo definido por el framework MITRE ATT&CK.

 

El aspecto más interesante es que Emotet roba los correos electrónicos de las víctimas y los utiliza como plantillas para su nuevo “malspam” (una combinación de malware y spam). Utiliza una técnica conocida como secuestro de hilos de correo, respondiendo a antiguos hilos de correo con uno de sus mensajes maliciosos. Hay más probabilidades de que las víctimas abran mensajes de destinatarios conocidos, y especialmente cuando éstos se reciben dentro de un hilo de correo previo. En consecuencia, las campañas de distribución de Emotet han tenido mucho éxito.

Este tipo de ataques son una de las principales razones por las que los líderes en ciberseguridad necesitan invertir en formación y concienciación para mitigar los riesgos de seguridad informática a través de las personas.

La gran peligrosidad de Emotet se debe a que, además de emplear sus propios módulos para robar correos electrónicos de víctimas y hacer un uso indebido de sus ordenadores a modo de servidores de C2 y de spam, incluye otros elementos de malware tales como TrickBot, que en última instancia provoca una infección con el ransomware Ryuk. De hecho, incluso si una víctima elimina la infección Emotet, puede ser que ya tengan malware adicional ejecutándose en sus sistemas que no formase parte de la infección inicial con Emotet.
Las víctimas infectadas con Emotet pasan a formar parte de la botnet Emotet.

 

Botnet

 

La botnet Emotet está dividida en botnets independientes. Los investigadores las dividían en las épocas 1 y 2 por haber recibido actualizaciones de carga útil en diferentes momentos. Cada época tiene su propia clave RSA única utilizada para su comunicación C2. El 17 de septiembre de 2019, una parte de la botnet de época 1 se escindió para formar la botnet de época 3.

Cada bot se conecta a los servidores de C2 de su época. Si una víctima está infectada por un documento Emotet perteneciente a la época 1, el documento descargará el descargador Emotet de la infraestructura de la botnet de época 1 y posteriormente pasará a formar parte de la botnet de época 1.

La estructura actual de los servidores de C2 de nivel 1 de la botnet Emotet es la siguiente:

Los cambios se implementan primero en la botnet de época 2. Posiblemente se trate de una prueba para asegurarse de que, en caso de que los cambios introducidos provoquen una ruptura, sólo se pierda una parte de la botnet total.

 

Acontecimientos recientes

 

Si bien podríamos profundizar en la intrincada historia de Emotet, en sus orígenes y el código que comparte con Feodo, así como en sus relaciones con Cridex y Dridex, en esta ocasión nos centraremos en los acontecimientos más recientes.
Por suerte, todo el mundo sabe que actualmente (a fecha de redacción) la botnet Emotet no envía spam. La botnet se toma estos descansos a menudo. Lamentablemente, también suele volver tras estas pausas con actualizaciones que lo hacen más peligroso que antes. Este cronograma muestra “pausas de spam” recientes:

 

 

 

El 31 de octubre de 2018, Emotet publicó un nuevo módulo de robo de correo electrónico. En su vuelta a la actividad del 16 de septiembre de 2019, la botnet de época 3 se escindió de la de época 1. Mientras preparábamos esta publicación, el 29 de abril de 2020 se ha observado a TrickBot (un famoso malware frecuentemente distribuido a través de Emotet) distribuyendo el descargador Emotet. Se sospecha que, debido a la larga ausencia del malspam de Emotet empleado para sembrar la botnet con nuevos bots, así como a la constante limpieza de las infecciones existentes, el número de bots de Emotet pueda haberse reducido hasta una nivel crítico y los responsables del malware TrickBot estén ahora sembrando bots de Emotet como contrapartida a la distribución de TrickBot que realizó en su día Emotet. Sin embargo, solo se trata de conjeturas, y por ahora no hay nada claro.
Lo que sabemos es que actualmente hay cambios en el descargador Emotet distribuido por la botnet de época 2 a partir del 20 de abril de 2020. La pregunta es, ¿cuándo volverá Emotet y qué nuevos trucos habrá aprendido esta vez?

Por tanto, el Security Lab de Hornetsecurity ha analizado los cambios recientes en el malware de Emotet.

El 31 de octubre de 2018, Emotet publicó un nuevo módulo de robo de correo electrónico. En su vuelta a la actividad del 16 de septiembre de 2019, la botnet de época 3 se escindió de la de época 1. Mientras preparábamos esta publicación, el 29 de abril de 2020 se ha observado a TrickBot (un famoso malware frecuentemente distribuido a través de Emotet) distribuyendo el descargador Emotet. Se sospecha que, debido a la larga ausencia del malspam de Emotet empleado para sembrar la botnet con nuevos bots, así como a la constante limpieza de las infecciones existentes, el número de bots de Emotet pueda haberse reducido hasta una nivel crítico y los responsables del malware TrickBot estén ahora sembrando bots de Emotet como contrapartida a la distribución de TrickBot que realizó en su día Emotet. Sin embargo, solo se trata de conjeturas, y por ahora no hay nada claro.
Lo que sabemos es que actualmente hay cambios en el descargador Emotet distribuido por la botnet de época 2 a partir del 20 de abril de 2020. La pregunta es, ¿cuándo volverá Emotet y qué nuevos trucos habrá aprendido esta vez?

Por tanto, el Security Lab de Hornetsecurity ha analizado los cambios recientes en el malware de Emotet.

Análisis técnico

 

Debido a reciente ausencia del spam de Emotet, no podemos analizar ningún correo electrónico o documento malicioso. Por tanto, presentamos un análisis del código binario del descargador de Emotet.

 

Código binario del descargador de Emotet

 

Analizamos tanto la versión «antigua», distribuida por la botnet de época 1 el 20 de febrero de 2020 (sin cambios notables desde la actualización del 5 de febrero de 2020), y la «nueva» versión distribuida por la botnet de época 2 a partir del 20 de febrero de 2020.

 

Compresor

 

Los metadatos de la nueva versión contienen fragmentos de texto de artículos periodísticos. Los textos de los campos de descripción del archivo (FileDescription), nombre interno (InternalName), nombre de archivo original (OriginalFilename), nombre del producto (ProductName) y copyright están rellenados con fragmentos de artículos periodísticos:

 

 

Esto es otro indicio de que Emotet utiliza el mismo compresor que Trickbot, que se ha visto con textos periodísticos en sus metadatos poco antes de que Emotet presentara el mismo tipo de textos. Los investigadores han denominado a este cifrador «Exes’r’rus» [JRoosen].

 

Debido a que el compresor cambia con frecuencia, esta diferencia no es inusual. Se ha observado alrededor del 14 de febrero de 2020, pero la carga útil del descargador de Emotet todavía se puede extraer a través de mecanismos de descompresión genéricos (y automatizados).

 

Ofuscación

 

Emotet ha añadido más ofuscación. El cambio más notable es un aplanamiento del flujo de control y la adición de código basura. Esto dificulta el análisis del código binario y permite realizar cambios polimórficos de un modo más sencillo. La mayor parte de la ofuscación ya se agregó en la actualización del 5 de febrero de 2020.

Aplanamiento del flujo de control

El aplanamiento del flujo de control es una técnica de ofuscación. Divide una secuencia de código en varias partes y la reorganiza de un modo más difícil de seguir. Un método habitual consiste en colocar las partes de código en un bucle y ejecutar diferentes partes del cuerpo del bucle en cada ejecución del mismo en función de una variable de estado.

 

Sequencia del código:

CODE_1;
CODE_2;
CODE_3;
return;

se convierte en::

state = STATE_1
do
{
	if ( state > MAGIC_VALUE_1 )
	{
		if ( state == STATE_2 )
		{
			CODE_2;
			state = STATE_3;
		}
		if ( state == STATE_1 )
		{
			CODE_1;
			state = STATE_2;
		}
	}
	else if ( state == JUNK_STATE_1 )
	{
		JUNK_CODE_1;
		state = STATE_4
	}
	else
	{
		if ( state == STATE_3 )
		{
			JUNK_CODE_2;
			state = JUNK_STATE_1;
		}
		if ( state == STATE_4 )
		{
			CODE_3;
			return;
		}
	}
} while(1);

Aunque semánticamente es idéntico, el segundo código es más difícil de seguir.

En Emotet, la ofuscación tiene el siguiente aspecto:

 

 

Emotet utiliza esto para mover bloques de código, como se puede ver en este ejemplo, donde el bloque de código que configura los encabezados de la comunicación HTTP C2 está cerca del principio de la función en un archivo binario y cerca del final de la función en otro:

 

Código basura

 

Otra técnica que usa Emotet se denomina código basura, consistente en añadir código inútil que no cambia la semántica de un programa.
La secuencia de código:

unsigned int function(unsigned int n) 
{ 
    if (n == 0) 
        return 1; 
    return n * function(n - 1); 
}

se convierte en:

unsigned int function(unsigned int n) 
{
    unsigned int a = 1234;
    unsigned int b = 4321;
    a = n + b;
    b = n + a;
    if (n == 0 && a > 10 && b > 20)
    {
        b = n - a;
        n = b;
        return 1;
    }
    a = b + 42;
    return n * function(n - 1); 
}

 

Aquí, los cálculos relativos a las variables a y b son código irrelevante. No influyen en el resultado del código en absoluto. Sin embargo, un analista no sabe qué cálculos son importantes y cuáles no. Por lo tanto, aunque sea semánticamente idéntico, el segundo código es más difícil de entender.

 

Por suerte, el software de análisis moderno es capaz de simplificar el código artificialmente más complicado. Así, una función de aspecto complejo como ésta:

 

 

Se reduce automáticamente al retorno de un valor estático:

 

 

Esto se utiliza en el siguiente método de ofuscación.

Predicados opacos

 

Los predicados opacos son condiciones de salto para las que ya se conoce el resultado, pero que aún deben evaluarse en tiempo de ejecución. Un ejemplo sería un código que obtiene la hora actual dos veces. Debido a que el tiempo nunca corre hacia atrás, el primer valor nunca será mayor que el segundo:

time_t a = time(NULL);
time_t b = time(NULL);
if ( a <= b )
    CODE;
else
    JUNK_CODE;

Mientras que, para una persona, esto sería lógico, una máquina tendría que evaluar los valores de a y b antes de determinar si dar el salto o no.

Emotet utiliza funciones con un valor de retorno estático (véase el anterior ejemplo de código basura) y utiliza sus valores retornados como condición de salto:

 

 

 

Los saltos empleados para el aplanamiento del flujo de control también usan predicados opacos, ya que la variable de estado cambia de forma predecible, pero debe evaluarse en tiempo de ejecución.

 

Biblioteca dinámica y resolución de funciones

 

Todas las llamadas a la biblioteca se resuelven dinámicamente por hash. Las versiones anteriores almacenaban las funciones resueltas. Ahora se resuelven sobre la marcha antes de cada llamada.

 

Para cada llamada a la biblioteca, primero se obtiene la biblioteca (emotet_get_lib()). A continuación, se obtiene la dirección de la función deseada (emotet_get_func):

 

 

Las bibliotecas se resuelven a través de InLoadOrderModuleList, accesible desde el bloque de entorno de proceso (PEB, por sus siglas en inglés) (FS:[0x30]):

 

 

A continuación, al DllBaseName de cada módulo cargado se le aplica una función hash y se compara con el hash consultado actual. Si el hash coincide, se devuelve el DllBase. El GET_LIB_XOR_VALUE varía para cada binario. Esto significa que los hashes de biblioteca cambian de muestra a muestra y no se pueden calcular con antelación. Deben calcularse individualmente para cada muestra.

Las direcciones de las funciones se obtienen a través de recorrido manual, en este caso, de la estructura de datos del directorio de exportación. Se itera sobre cada nombre de función exportado de la imagen de DLL resuelta y se le aplica una función hash. Si el hash coincide, se devuelve la dirección de la función:

 

 

Emotet todavía utiliza el algoritmo de hashing de versiones anteriores:

 

 

La función emotet_get_func() utiliza una variación sin asignar los caracteres en mayúsculas a caracteres minúsculas, es decir, que su hash distingue entre mayúsculas y minúsculas e ingiere cadenas de char en lugar de una cadena de wchar. La función emotet_hash() también está muy cargada de código basura que, por suerte, el descompilador ya simplifica o descarta.

 

Con los scripts de análisis de Ghidra emotet_lib_imports.py y emotet_func_imports.py, es posible reconstruir los nombres de biblioteca y función llamados a partir de sus hashes:

 

 

Las siguientes bibliotecas, que normalmente no se cargan en un proceso por defecto, se cargan a través de LoadLibraryW:

shell32.dll
userenv.dll
urlmon.dll
wininet.dll
wtsapi32.dll
advapi32.dll
crypt32.dll
shlwapi.dll

Los identificadores de las bibliotecas se almacenan en la memoria asignada. Pero nunca fueron usadas. Hemos encontrado otras funciones y rutas de código que nunca se utilizan. Es probable que se haya eliminado el código sobrante que no se quitó durante las actualizaciones de código.

 

Ofuscación XOR

 

Las cadenas y la clave RSA, como en versiones anteriores, están ofuscadas mediante XOR. Se utiliza la siguiente estructura:

typedef emotet_xor_data_t {
    uint32_t xor_key;
    uint32_t len;
    uint32_t data[];
} emotet_xor_data_t;

Se descifran, en primer lugar, mediante disyunción exclusiva de len with xor_key. A continuación, la longitud len de data se descodifica y redondea al siguiente múltiplo de 4 y se efectúa su disyunción exclusiva con xor_key:

 

 

Aunque la clave XOR cambia de código binario a código binario, el proceso de decodificación se puede automatizar. Por ejemplo, el script emotet_string_decode.py script puede decodificar cadenas usadas:

 

 

Por tanto, se descifran a petición para una nueva asignación de memoria sobre la marcha. La asignación de memoria que contiene la cadena descifrada se elimina después de cada uso de la cadena.

 

Tutorial de análisis estático

 

Con los conceptos básicos de las nuevas técnicas de ofuscación cubiertos, a continuación, describimos brevemente cómo es posible analizar Emotet.

  1. Saca tu muestra de Emotet (por ejemplo, utilizando la sandbox CAPE, una herramienta gratuita de código abierto y desarrollo comunitario [CAPE]).
  2. Importa la muestra a Ghidra [GHIDRA].
  3. Ejecuta el análisis automático.
  4. Ejecuta py con currentAddress en la 2ª función llamada en la función entry (la función emotet_get_lib).
  5. Ejecuta py (seleccionando func_names.txt) con currentAddress en la 3ª función llamada en la función entry (la función emotet_get_func).
  6. Ejecuta py con currentAddress en la funci´no emo_* _LoadLibraryW.
  7. Ejecuta py con currentAddress en la 1ª función llamada en la función emo_* _LoadLibraryW.

 

De este modo se obtiene lo siguiente:

  • Comentarios para la resolución de bibliotecas y funciones.
  • Dos tipos de enumeración emotet_-lib,func-_hash con enumeraciones para los hashes de bibliotecas y funciones, que puedes aplicar opcionalmente a las funciones emotet_get_-lib,func.
  • Cadenas de Emotet descifradas y puestas en comentario, etiquetas, así como marcadores localizables.

 

La comunicación C2 se encuentra buscando el uso de la función HttpSendRequestW.  El tipo de solicitud y los encabezados de las solicitudes se pueden encontrar retrocediendo a HttpSendRequestW desde el primer parámetro (hRequest). Como alternativas al uso de la función HttpOpenRequestW, la función InternetConnect, la cadena POST o la cadena Referer: http://%s/%s … producen el código correspondiente.

El almacenamiento de direcciones IP para C2 se puede encontrar buscando la cadena %u.%u.%u.%u. Estos octetos se rellenan mediante una asignación que denominamos emotet_c2_data. Los datos de la asignación proceden de una ubicación de datos que hemos denominado emotet_c2_list. Si ejecuta emotet_ip_decode.py con currentAddress conteniendo la dirección de emotet_c2_list, la lista de C2 se descodifica y se anota como un comentario.

La plantilla de solicitud de HTTP de C2 tiene el siguiente aspecto:

POST
Referer: http://%s/%s
Content-Type: multipart/form-data; boundary=%s

--%S
Content-Disposition: form-data; name="%s"; filename="%s"
Content-Type: application/octet-stream

 

Busca funciones que usen la función OpenSCManagerW. Una función contendrá una asignación a una ubicación de datos. Emotet emplea OpenSCManagerW para comprobar si tiene derechos de administrador o no. Aquí es donde se activa lo que llamamos la bandera is_admin. Utiliza «Auto Create Structure» en la referencia de datos y llámalo emotet_data. A continuación, nombra el campo al que se ha asignado el valor 1 es_admin.

 

Busca funciones que usen la cadena %s\%s.exe. Aquí es donde se construye la ruta del ejecutable. En su proximidad se accede a la ubicación de los datos de emotet_data. Determina, por su uso como parámetros de la función _snwprintf, cuál de los dos campos de la estructura emotet_data es la ruta exe_ y cuál es el nombre exe_.

 

A continuación, usa «References -> Find use of emotet_data_t.exe_name» para averiguar cómo se genera el exe_name. Haz lo mismo con el exe_path. El exe_name también se usará para generar el nombre del servicio. El código relevante se encuentra buscando en CreateServiceW.

La persistencia a través de las claves de ejecución se encuentra a través de RegCreateKeyExW y/o la cadena SOFTWARE\NMicrosoftWindows\NCurrentVersion\NRun.

Buscando el uso de la cadena %s:Zone.Identifier se encuentra el punto en que Emotet borra su ADS Zone.Identifier, que en Windows se utiliza para marcar los archivos descargados de sitios externos como potencialmente peligrosos.

Como nota interesante, las versiones nuevas menos recientes contenían código que eliminaba los antiguos archivos binarios de Emotet cuyos nombres se generaban a partir de listas de palabras:

 

 

Esta funcionalidad se ha eliminado de la versión más reciente, lo que indica que la migración a la nueva versión se ha completado para la botnet de época 2 y ya no es necesario eliminar archivos binarios antiguos:

 

 

(O también puede ser que la función se haya movido y no ha sido detectada por nuestro script de desofuscación de cadenas.)

El siguiente vídeo muestra cómo puedes utilizar nuestros scripts para iniciar tu propio análisis del descargador de Emotet:

Reproductor de vídeo:

 

 

Descarga nuestros scripts en Github.

 

 

Geolocalización de servidores de C2 de nivel 1

Los servidores y proxies de C2 de nivel 1 de Emotet están geolocalizados en todo el mundo:

(Lista de IP C2 observada 2020-04-20.)

 

Conclusión y soluciones

 

 

Para protegerse contra Emotet, el CERT de EE. UU. recomienda “implementar filtros en la puerta de enlace de correo electrónico para descartar los correos electrónicos con indicadores de malspam conocidos» [USCERT].

 Spam and Malware Protection de Hornetsecurity, con las tasas de detección más altas del mercado, no se ve afectado por las actualizaciones del descargador de Emotet (ya que el descargador nunca se envía directamente a través de correos electrónicos) y por lo tanto seguirá bloqueando todos los indicadores de malspam de Emotet, tales como documentos con macros utilizados para la infección, así como los enlaces de descarga de Emotet conocidos.  Advanced Threat Protection de Hornetsecurity amplía esta protección mediante la detección de enlaces maliciosos desconocidos mediante la descarga dinámica y la ejecución del contenido potencialmente malicioso en un entorno supervisado y aislado. Por tanto, incluso si el descargador de Emotet cambia y adopta nuevas tácticas de distribución, ¡en Hornetsecurity estamos preparados!

 

Además de bloquear los correos electrónicos entrantes de Emotet, los expertos en ciberseguridad pueden emplear la información hecha pública por el equipo de Cryptolaemus, un grupo de voluntarios formado por expertos en seguridad informática para luchar contra Emotet. En su sitio web [CryptolaemusWeb] proporcionan información nueva a diario. Allí podrás obtener la última lista de IPs de C2 para encontrar y/o bloquear el tráfico de C2. Para obtener actualizaciones en tiempo real, puedes seguir su cuenta de Twitter [CryptolaemusTwitter].

Somos conscientes de que el análisis que hemos presentado sólo araña la superficie del complejo de malware Emotet, pero cuando Emotet regrese también lo haremos nosotros, con análisis actualizados de nuevos documentos maliciosos y cualquier otra novedad.

 

Referencias

Muestras utilizadas

 

Hashes

SHA256Descripción
cc96711da9ef7b63d5f1749d8866b0149f84506f9d53d79de018dac92e9443a0Muestra de época 1 («versión antigua») 2020-04-20
Muestra de carga útil de época 1 desempaquetada 2020-04-20
4250a3ab9044b4a3a5f8319e712306bb06df61b1dee8b608505c026bacba4aa1Muestra de época 2 (versión «nueva») 2020-04-20
14f8463a86bbae338925fbbcb709953ae7f1bffdb065fee540b6fa88fbbce70eMuestra de carga útil de época 2 desempaquetada 2020-04-20
Ciberdelincuencia: la amenaza cada vez mayor

Ciberdelincuencia: la amenaza cada vez mayor

La integración de la tecnología en casi todos los componentes de la vida humana no sólo abre nuevas posibilidades, sino que también ofrece innumerables puertas de entrada, aún no claramente definidas, para las actividades delictivas. Se están introduciendo nuevas tecnologías – más rápido de lo que se puede comprobar y garantizar la seguridad de estas. El ciberespacio está cambiando rápidamente, así como los métodos utilizados por los hackers y los estafadores.
¿Por qué el cibercrimen es una de las amenazas globales? , ¿qué papel jugará la inteligencia artificial en los futuros ciberataques y su defensa?, y ¿por qué los hackers se dirigen cada vez más a Microsoft Office 365?, es el tema del último Hornetsecurity Cyberthreat Report 2020. Además, las estadísticas actuales y las evaluaciones exclusivas de los expertos del Security Lab de Hornetsecurity proporcionan una visión detallada del panorama de amenazas del mundo cibernético.

Una amenaza global

¿Qué tienen en común las sequías, los maremotos, las crisis de agua potable y la ciberdelincuencia? Todas ellas se encuentran entre las amenazas globales que ponen en peligro nuestra vida cotidiana. La ciberdelincuencia se encuentra ahora en su tercer año consecutivo, ya que el aumento de los ciberataques profesionales y dirigidos ha revelado una creciente amenaza potencial para la seguridad nacional y mundial. En particular, el colapso de las infraestructuras críticas causado por los ciberataques ocupa actualmente el segundo lugar entre los riesgos para nuestro planeta. La seguridad de las infraestructuras de TI es cada vez más importante en la mente de las personas y las empresas: el 92 por ciento de los encuestados en un estudio de TÜV considera que los ciberataques son una amenaza grave. Y con razón. Además de los daños de imagen, las pérdidas monetarias también juegan un papel importante.

Infraestructuras críticas: cuando la electricidad ya no fluye

Las infraestructuras críticas están cada vez más expuestas a los ciberataques. El BSI (Bundesamt für Sicherheit in der Informationstechnik) u (Oficina Federal Alemana de Seguridad de la Información) ha notado un aumento constante de los ataques en los últimos años. Según un análisis de los expertos del Security Lab de Hornetsecurity, el sector de la energía ha sido el más atacado desde principios de 2019, pero ¿de dónde viene esta tendencia? Un ataque cibernético a una empresa de servicios públicos ejerce una gran presión sobre los operadores, porque las consecuencias son devastadoras. Un corte prolongado de energía, por ejemplo, no sólo provoca cuellos de botella en el suministro de alimentos, sino que además los medicamentos ya no se pueden enfriar. Por lo tanto, la ciberseguridad de las infraestructuras críticas merece una atención especial.

Sectores en peligro de extinción

Los expertos en TI del Security Lab de Hornetsecurity han llegado a una interesante conclusión: Luego de un análisis de los 1000 dominios más importantes con el mayor volumen de correo electrónico, el sector energético en particular, pero también el sector logístico y de automoción están en peligro de sufrir ciberataques. Los vectores de ataque utilizados por los ciberdelincuentes son sorprendentes. Por ejemplo, el Security Lab de Hornetsecurity ha descubierto que los ciberataques al sector energético utilizan enlaces especialmente maliciosos, ya que muchas soluciones antispam pueden detectar los virus incluso en los archivos adjuntos. Los ciberdelincuentes están utilizando nuevos métodos para propagar el malware y eludir las antiguas funciones de seguridad.

Ransomware & Emotet

En octubre de 2019, el FBI advirtió de una ola de ataques con rescates. La última vez que hubo un informe de este tipo fue en 2016, poco antes de WannaCry y NotPetya. Un ataque exitoso con software de rescate puede conducir a fallos completos de redes enteras y, por lo tanto, no sólo causa considerables interrupciones en las operaciones sino también inmensas pérdidas monetarias. Ransomware ya no es un simple troyano, sino que se está convirtiendo cada vez más en un modelo de negocio.
¿Cuál es el malware más peligroso del mundo? Emotet. ¿Por qué? Desde su primer lanzamiento en 2014, Emotet ha estado en constante evolución. Ahora el malware no sólo lee las relaciones de contacto del historial, sino también el contenido de los correos electrónicos. Esto proporciona a los ciberdelincuentes una base para ataques de ingeniería social dirigidos.

Microsoft Office 365: el hijo favorito del hacker

La externalización de infraestructuras de TI es cada vez más popular, especialmente entre las empresas y organizaciones. Es probable que en el futuro una gran proporción del tráfico de datos sea transportado a través de la nube. Office 365 Cloud de Microsoft es uno de los servicios más populares de este tipo, con un aumento del 320 por ciento en el número de suscriptores entre 2015 y 2017.
Pero ¿por qué es tan vulnerable la Nube de Microsoft Office? Alrededor de 100 millones de clientes empresariales utilizan el Microsoft Office 365 Suite: en él se intercambian y almacenan datos confidenciales, secretos de empresa e información personal. Pero el alto número de usuarios también atrae a los ciberdelincuentes. Ya en 2018, por ejemplo, se identificó un aumento considerable de los ataques. Según Recorded Future, Microsoft se situó en ocho lugares de la lista de las diez vulnerabilidades más explotadas, seis de ellas en aplicaciones de Office.

¿Qué es lo siguiente que nos espera?

Una cosa está clara: la amenaza de los ciberdelincuentes es cada vez mayor, tanto para los individuos como para las empresas. El nuevo Cyberthreat Report de Hornetsecurity ofrece una visión detallada de la situación actual de las amenazas, muestra estadísticas sobre spam y phishing y proporciona muchas más evaluaciones exclusivas de los expertos en seguridad informática del Sec Lab de Hornetsecurity. ¡Solicita el informe ahora mismo de forma gratuita!
Los ciberdelincuentes difunden Emotet – en nombre de Greta Thunberg

Los ciberdelincuentes difunden Emotet – en nombre de Greta Thunberg

Justo a tiempo para final de año, el número de ataques con el malware más peligroso del mundo – Emotet – está aumentando. Los expertos del Security Lab de Hornetsecurity han podido observar una campaña especialmente llamativa desde el 19 de diciembre.

Los ciberdelincuentes están enviando correos electrónicos en nombre de una presunta partidaria de la activista climática Greta Thunberg. La niña y las huelgas climáticas iniciadas por ella han estado causando un gran revuelo desde hace un año. El movimiento «Fridays For Future», que Greta Thunberg fundó, se ha convertido en un movimiento global para la protección del clima y ha recibido mucha atención de los medios de comunicación durante meses.

Correo electrónicos en los que los ciberdelincuentes piden ayuda a los destinatarios haciendo una llamada a una gran manifestación por el clima

Los hackers también están aprovechando el debate sobre Greta.  Hornetsecurity Security Lab ha interceptado correos electrónicos en los que los ciberdelincuentes piden ayuda a los destinatarios haciendo una llamada a una gran manifestación por el clima. La hora y la dirección de la huelga global se encuentran supuestamente en el archivo adjunto.

 

Correo electrónico

 

 

 

Tan pronto como el destinatario abre el archivo adjunto, aparece un documento cifrado. Se le pide al usuario que active la edición y el contenido del documento. Siguiendo esta instrucción, se ejecuta una macro que descarga el malware malicioso.

 

macro malware emotet

Emotet permanece sin cambios técnicos

Los ciberdelincuentes han vuelto a mostrar una gran creatividad en el diseño de su campaña, pero Hornetsecurity Security Lab ha podido comprobar que el malware apenas ha sufrido cambios técnicos.

Más información: