El programa malicioso (malware) conocido como Emotet, derribado en enero de 2021 después de una acción policiaca internacional, volvió con mayor fuerza desde 2022 y se ha convertido en un importante malware multipropósito utilizado por sofisticados ciberdelincuentes de Europa del Este para secuestrar información de corporaciones e individuos en todo el mundo.
De acuerdo con el Reporte de Ciberseguridad 2023 de Check Point, este malware (originalmente destinado al sector bancario), fue el más prevalente de todos en 2022 con 45 por ciento de los ataques a nivel global y porcentajes muy similares en las diferentes regiones (Las Américas, Asia- Pacífico, Europa, Medio Oriente y África) afectando al 10 por ciento de las redes corporativas en todo el mundo.
En el informe se destaca que este troyano se ha convertido en un importante malware multipropósito, que sirve como acceso inicial malicioso y es Identificado como una de las principales ciberamenazas en la actualidad.
A pesar de haber sido derribado a inicios de 2021 en su resurgimiento Emotet se distribuyó con la ayuda del troyano Trickbot y posteriormente desplegó campañas de spam a gran escala con documentos de Office maliciosos, basándose en gran medida en la explotación de macros de Office.
Para impedir su propagación, Microsoft desactivó las macros de VBA en los documentos obtenidos de Internet con la intención de afectar la distribución de este malware en particular.
Sin embargo, los sofisticados ciberdelincuentes que lo operan se prepararon para el cambio, experimentando con tipos de archivo alternativos incluyendo archivos .lnk, .xll zip e .iso. En noviembre de 2021, Emotet volvió de una de sus pausas rutinarias, pero en 2022 resurgió con su anterior arma: los archivos de Excel con macros maliciosos.
Para eludir las limitaciones de “Mark-of-the-Web” que estableció Microsoft, los archivos adjuntos mostraban instrucciones detalladas para que los usuarios copiaran los archivos en la carpeta de «Plantillas»; con la intención de darle confianza al usuario y así capturar su información.
Además, el Reporte de Ciberseguridad 2023 señala que Emotet sigue utilizando la técnica de secuestro de hilos de correo electrónico y personaliza el contenido de los mensajes en función del país de destino. Se ha observado a Emotet implantando otras familias de malware como IcedID y XMRig en el sistema de la víctima.
Otras campañas de Emotet en 2022 incluyeron una dirigida a los empleados de la firma IKEA, así como una campaña de phishing implementada en Estados Unidos a través de la suplantación de identidad del sistema fiscal (IRS), precisamente durante la temporada de impuestos de 2022.
Los infosecuestradores ocuparon un lugar central en la tabla de este año, con cuatro de los más utilizados: AgentTesla, Formbook, SnakeKeylogger y LokiBot.
Cabe señalar, que la herramienta llamada “ladrones de información” (conocida como infostealers en inglés) han crecido en popularidad entre la ciberdelincuencia, lo cual podría relacionarse con un creciente tráfico de credenciales robadas y su disponibilidad a precios relativamente bajos en el mercado negro.
Una de las técnicas emergentes de los ciberdelincuentes es utilizar infostealers para infecciones de amplia propagación que no se centran específicamente en las redes corporativas. Tras la infección inicial los ciberdelincuentes minan los datos para identificar las credenciales VPN corporativas, lo que les permitirán obtener un acceso inicial a las redes corporativas.
C$T-EVP