News

Autoridades obligan al malware Emotet a autodestruirse de todos los equipos infectados

El infame malware Emotet, responsable de varias operaciones de spam y ransomware, ha sido eliminado de todos los equipos infectados como resultado de una operación conjunta entre agencias europeas y estadounidenses de lucha contra el cibercrimen.

La acción forma parte de la “Operation Ladybird”, que en enero puso los servidores C&C de Emotet en manos de fuerzas del orden de Holanda, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania. Esto implicó que los cibercriminales perdieron el control de alrededor de 700 servidores que utilizaban para operar y mantener sus redes zombi y llevar a cabo sus ataques.

Habiendo tomado el control de los servidores, este domingo las autoridades enviaron una actualización a todos los equipos infectados, ordenando la limpieza de la llave de registro de Windows que permite que los módulos de la red zombi se ejecuten de forma automática. Al hacerlo, se quita la posibilidad de que Emotet vuelva a ponerse en contacto con los servidores de Comando y Control en el futuro. “Nuestra vigilancia continua de Emotet indica que la operación ha sido un éxito total”, dijo Ian Boutin, investigador de ESET.

Aunque este es un paso importante en la lucha contra Emotet, no implica que los equipos infectados estén libres de peligro. Chet Wisniewski, investigador de Sophos, explicó que no se conocían muchos comportamientos maliciosos de Emotet en sí, en especial de sus últimas variantes. “Era conocido por instalar otros programas maliciosos, y es probable que lo haya hecho antes de que la policía tomara el control de su infraestructura de Comando y Control”, indicó. “Su eliminación no tiene efecto en otros programas maliciosos que pudo haber instalado”.

En los últimos dos años, Emotet distribuyó al menos seis familias de malware: Ursnif, Trickbot, Qbot, Nymaim, Iceid y Gootkit. La operación Ladybird no desinstala estas amenazas. “La desactivación de Emotet puede considerarse el primer paso para recuperar los equipos, pero está lejos de ser el único”, opinó Christopher Fielder, de Arctic Wolf.

Por ahora sólo se puede especular sobre lo que implicará este cierre para los cibercriminales responsables de Emotet. Investigadores de Redscan recalcaron que los operadores de Emotet suelen aprovechar las pausas largas en sus actividades para hacer mejoras al malware, por lo que existe la posibilidad de que la amenaza vuelva con ajustes y modificaciones. Pero también es posible que la amenaza se termine de desintegrar y desaparezca.

Aun así, ninguna incertidumbre le quita mérito a la operación. Emotet “era una de las amenazas de correo electrónico más peligrosas y prolíficas”, afirmó Wisniewski, y su desmantelamiento no es una cuestión menor.

Fuentes

 Emotet malware nukes itself today from all infected computers worldwide Bleeping Computer
Cybercops Scrub Botnet Software from Millions of Computers Tech News World
Emotet Malware Destroys Itself From All Infected Computers The Hacker News

Autoridades obligan al malware Emotet a autodestruirse de todos los equipos infectados

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada