Jorge Pages. Ingeniero preventa de WatchGuard Technologies
La respuesta a esta pregunta sigue abierta, pero esperamos que pueda volver de alguna forma. La operación coordinada por Europol y Eurojust para el desmantelamiento de Emotet, una de las botnets más activas y peligrosas, fue un éxito, pero los expertos en ciberseguridad advierten de que el malware tiene la costumbre de resurgir de forma inteligente e inesperada. Por tanto, en el caso de la botnet Emotet no es de extrañar que pueda ocurrir lo mismo.
¿Qué es Emotet, cómo se esparce y persiste?
Empecemos por el principio: Emotet es un troyano bancario, polimórfico y difícil de detectar con el uso de firmas. Su objetivo es robar datos, lo que incluye las credenciales de usuario almacenadas en navegadores o espiar el tráfico de Internet.
Emotet es peligroso no solo por su capacidad ilimitada de esparcirse aprovechando la vulnerabilidad de EternalBlue y de infectar los endpoints con sistemas sin parches, sino también por su efectividad en cuanto a persistencia y propagación de red: se utiliza con frecuencia para descargar otro tipo de malware, como spyware o ransomware, y es conocido en particular como una herramienta que esparce troyanos bancarios, como Qakbot y TrickBot.
Los sistemas comprometidos a menudo entran en contacto con servidores C&C de Emotet para buscar actualizaciones, enviar información desde los equipos comprometidos y ejecutar ataques sin archivo con el malware descargado. Por lo general, Emotet se esparce a través del email, en adjuntos infectados o URL incrustadas. Puede parecer que los correos electrónicos tienen un origen confiable, ya que Emotet toma el control de las cuentas de correo electrónico de sus víctimas. Esto ayuda a engañar a otros usuarios para que descarguen el troyano en su sistema.
*¿Quieres leer el artículo completo? Pincha aquí
