10 meses después de su derrota, Emotet regresa de la mano de TrickBot y Cobalt Strike

Investigadores de seguridad han confirmado que la infame red zombi Emotet está reapareciendo después de que las autoridades forzaran su cierre en enero. Su resurgimiento se dio con la ayuda de TrickBot, y la nueva versión de la amenaza instala de forma directa Cobalt Strike, lo que podría indicar que su regreso viene con fuerza y con una versión mejorada.

Emotet estuvo inactivo durante 10 meses, desde que una operación conjunta de varias autoridades desmanteló su servidor y dejó su red inoperable. Pero investigadores descubrieron nuevas infecciones relacionadas con el bot a mediados de noviembre, por lo que se cree que la red está tratando de reconstruirse.

Un nuevo peligro de la nueva versión de Emotet es que está instalando el malware Cobalt Strike de forma directa. Pero los expertos de Check Point advirtieron que, además, la nueva variante se está esparciendo en documentos de Office maliciosos y dejó de usar el cifrado RSA para emplear Criptografía de curva elíptica (ECC) en el cifrado de sus comunicaciones. Es decir, que los responsables de la red zombi estuvieron activos durante esos 10 meses de silencio, reforzando la amenaza para su regreso.

Expertos en seguridad de Cryptolaemus, G DATA y AdvIntel advirtieron que habían encontrado ejemplares del troyano TrickBot esparciendo infecciones de Emotet. Este no es un problema menor si se considera que TrickBot ha logrado infectar a más de 140.000 equipos en 149 países en sólo 10 meses y que se han detectado 223 operaciones de TrickBot en los últimos 6 meses. Es por eso que esta alianza es alarmante: por la capacidad que TrickBot tiene para propagar Emotet.

El regreso de Emotet también podría afectar el panorama de ransomware, ya que Emotet era conocido por propagar estas amenazas.

“Con el regreso de Emotet y el uso de TrickBot para propagarlo, el panorama de malware se está volviendo tan amenazador y eficiente como puede llegar a serlo”, opinaron los investigadores de Check Point. “No se debe tomar a la ligera la amenaza de Emotet, porque ya hemos visto que puede crecer de forma monstruosa”, afirmaron los expertos.

Fuentes

Emotet Is Back and More Dangerous Than Before Dark Reading
Emotet’s Behavior & Spread Are Omens of Ransomware Attacks ThreatPost
Emotet now drops Cobalt Strike, fast forwards ransomware attacks Bleeping Computer