News

10 meses después de su derrota, Emotet regresa de la mano de TrickBot y Cobalt Strike

Investigadores de seguridad han confirmado que la infame red zombi Emotet está reapareciendo después de que las autoridades forzaran su cierre en enero. Su resurgimiento se dio con la ayuda de TrickBot, y la nueva versión de la amenaza instala de forma directa Cobalt Strike, lo que podría indicar que su regreso viene con fuerza y con una versión mejorada.

Emotet estuvo inactivo durante 10 meses, desde que una operación conjunta de varias autoridades desmanteló su servidor y dejó su red inoperable. Pero investigadores descubrieron nuevas infecciones relacionadas con el bot a mediados de noviembre, por lo que se cree que la red está tratando de reconstruirse.

Un nuevo peligro de la nueva versión de Emotet es que está instalando el malware Cobalt Strike de forma directa. Pero los expertos de Check Point advirtieron que, además, la nueva variante se está esparciendo en documentos de Office maliciosos y dejó de usar el cifrado RSA para emplear Criptografía de curva elíptica (ECC) en el cifrado de sus comunicaciones. Es decir, que los responsables de la red zombi estuvieron activos durante esos 10 meses de silencio, reforzando la amenaza para su regreso.

Expertos en seguridad de Cryptolaemus, G DATA y AdvIntel advirtieron que habían encontrado ejemplares del troyano TrickBot esparciendo infecciones de Emotet. Este no es un problema menor si se considera que TrickBot ha logrado infectar a más de 140.000 equipos en 149 países en sólo 10 meses y que se han detectado 223 operaciones de TrickBot en los últimos 6 meses. Es por eso que esta alianza es alarmante: por la capacidad que TrickBot tiene para propagar Emotet.

El regreso de Emotet también podría afectar el panorama de ransomware, ya que Emotet era conocido por propagar estas amenazas.

“Con el regreso de Emotet y el uso de TrickBot para propagarlo, el panorama de malware se está volviendo tan amenazador y eficiente como puede llegar a serlo”, opinaron los investigadores de Check Point. “No se debe tomar a la ligera la amenaza de Emotet, porque ya hemos visto que puede crecer de forma monstruosa”, afirmaron los expertos.

Fuentes

Emotet Is Back and More Dangerous Than Before Dark Reading
Emotet’s Behavior & Spread Are Omens of Ransomware Attacks ThreatPost
Emotet now drops Cobalt Strike, fast forwards ransomware attacks Bleeping Computer

10 meses después de su derrota, Emotet regresa de la mano de TrickBot y Cobalt Strike

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada