Noticias

Autoridades obligan al malware Emotet a autodestruirse de todos los equipos infectados

El infame malware Emotet, responsable de varias operaciones de spam y ransomware, ha sido eliminado de todos los equipos infectados como resultado de una operación conjunta entre agencias europeas y estadounidenses de lucha contra el cibercrimen.

La acción forma parte de la “Operation Ladybird”, que en enero puso los servidores C&C de Emotet en manos de fuerzas del orden de Holanda, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania. Esto implicó que los cibercriminales perdieron el control de alrededor de 700 servidores que utilizaban para operar y mantener sus redes zombi y llevar a cabo sus ataques.

Habiendo tomado el control de los servidores, este domingo las autoridades enviaron una actualización a todos los equipos infectados, ordenando la limpieza de la llave de registro de Windows que permite que los módulos de la red zombi se ejecuten de forma automática. Al hacerlo, se quita la posibilidad de que Emotet vuelva a ponerse en contacto con los servidores de Comando y Control en el futuro. “Nuestra vigilancia continua de Emotet indica que la operación ha sido un éxito total”, dijo Ian Boutin, investigador de ESET.

Aunque este es un paso importante en la lucha contra Emotet, no implica que los equipos infectados estén libres de peligro. Chet Wisniewski, investigador de Sophos, explicó que no se conocían muchos comportamientos maliciosos de Emotet en sí, en especial de sus últimas variantes. “Era conocido por instalar otros programas maliciosos, y es probable que lo haya hecho antes de que la policía tomara el control de su infraestructura de Comando y Control”, indicó. “Su eliminación no tiene efecto en otros programas maliciosos que pudo haber instalado”.

En los últimos dos años, Emotet distribuyó al menos seis familias de malware: Ursnif, Trickbot, Qbot, Nymaim, Iceid y Gootkit. La operación Ladybird no desinstala estas amenazas. “La desactivación de Emotet puede considerarse el primer paso para recuperar los equipos, pero está lejos de ser el único”, opinó Christopher Fielder, de Arctic Wolf.

Por ahora sólo se puede especular sobre lo que implicará este cierre para los cibercriminales responsables de Emotet. Investigadores de Redscan recalcaron que los operadores de Emotet suelen aprovechar las pausas largas en sus actividades para hacer mejoras al malware, por lo que existe la posibilidad de que la amenaza vuelva con ajustes y modificaciones. Pero también es posible que la amenaza se termine de desintegrar y desaparezca.

Aun así, ninguna incertidumbre le quita mérito a la operación. Emotet “era una de las amenazas de correo electrónico más peligrosas y prolíficas”, afirmó Wisniewski, y su desmantelamiento no es una cuestión menor.

Fuentes

 Emotet malware nukes itself today from all infected computers worldwide Bleeping Computer
Cybercops Scrub Botnet Software from Millions of Computers Tech News World
Emotet Malware Destroys Itself From All Infected Computers The Hacker News

Autoridades obligan al malware Emotet a autodestruirse de todos los equipos infectados

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada