Europol no ha dudado en calificar a este malware como “el más peligroso del mundo”, y lo ha hecho precisamente en el momento de anunciar de forma global su desmantelamiento. Autoridades judiciales y policiales de Estados Unidos, Alemania, Francia, Países Bajos, Reino Unido, Ucrania y Lituania, se ha coordinado en una acción sin precedentes para llevar a cabo un ataque a los servidores de la estructura de Emotet, acabando de esta manera con un malware que llevaba demasiados años causando daño sin que fuera posible neutralizarlo.

Su actividad fue detectada por primera vez en el año 2014, actuando inicialmente como un troyano muy centrado en las entidades bancarias; pero pronto evolucionó, hasta convertirse en una puerta que daba acceso a ciberatacantes con diferentes malware. Esta faceta transformó Emotet en una amenaza para empresas y organizaciones de todo tipo, tal y como nos contó Antonio Grimaltos: viró su estrategia y centró su actividad en franquear el acceso a distintos servidores, vendiendo a los ciberatacantes la posibilidad de acceder a muchas otras compañías.

Una acción conjunta sin precedentes_

Esta faceta dificultó aún más su detección. Sin embargo, el esfuerzo conjunto de las autoridades policiales y judiciales de varios países han dado por fin su fruto. En esta acción conjunta han intervenido policías y juzgados de Alemania, Estados Unidos, Países Bajos, Canadá, Ucrania, Francia y Lituana, que han logrado neutralizar los centenares de servidores que empleaba el malware. Este contraataque ha sido considerado por la propia Europol como “muy novedoso” ya que se deshabilitó la actividad desde dentro de sus servidores una vez habiendo accedido a ellos, y las máquinas infectadas fueron redirigidas a servidores del propio organismo internacional para evitar la reactivación del malware.

Cómo actuaba Emotet_

Como muchos otros malware, Emotet accedía a los servidores remotos empleando como vector de ataque el correo electrónico: una red de bots enviaba emails a las víctimas, en su mayoría con un adjunto en formato Word, o en su defecto, con un híper vínculo. En el caso del adjunto, en muchas ocasiones el documento iba camuflado como si fuera una factura o un documento relacionado con el COVID-19; si el destinatario lo abría, se le instaba a habilitar los macros y en ese punto se instalaba el malware en el equipo.

En esta acción se instalaba el ‘loader’ y posteriormente se vendía el acceso a terceros postores que, a su vez, instalaban otros programas maliciosos. Esta forma de actuar consistente en acceder a unos pocos equipos y propagarse desde el interior en forma de otro malware, lo ha convertido, según sostiene Europol, en uno de las amenazas más resistentes y peligrosas del momento.

Cómo evitar este tipo de malware y futuras amenazas_

La Europol indicó que el malware contiene código polimórfico capaz de mutar. En realidad, hoy en día el 97% de los malware utilizan algún tipo de técnicas polimórficas, según estiman analistas de ciberseguridad.  Algunos son tan conocidos como Cryptolocker o incluso el ransomware Wannacry.  Pero lo más relevantes es que pueden tener distintos grados de complejidad y cifrado en su código y los más sofisticados como Emotet pueden ser difícilmente detectables para las soluciones de ciberseguridad tradicionales.

Afortunadamente, para ello existen respuestas avanzadas para las Operaciones de Ciberseguridad como es Cytomic Covalent. En primer lugar, Covalent ya cuenta con las características de Cytomic Ionic: un conjunto completo de capacidades de EDR y Cytomic Orion, que permite a los equipos de seguridad (SOC) identificar, investigar y contener los actores maliciosos haciendo uso de técnicas living off the  land, en la organización. Además, incrementa la efectividad del SOC y su escalabilidad, al beneficiarse de Zero-Trust application service

Pero va más allá y extiende esas capacidades con una gama completa de tecnologías de protección en el Endpoint, que incrementa por tanto la eficiencia y la escalabilidad del SOC al beneficiarse de una arquitectura integrada EPP y EDR junto con el Zero-Trust Application Service y que filtra ataques basados en binarios maliciosos, incluso si son desconocidos. Así, la cantidad de alertas e incidentes a gestionar es mucho menor que cuando se usa cualquier otra solución, Y de esta manera, las organizaciones estarán mucho más preparadas para detectar, mitigar y dar respuesta a incidentes tan peligrosos como los que generó Emotet.