Emotet, un viejo conocido de la ciberseguridad que vuelve a sembrar el miedo

Si bien el malware Emotet existe desde 2014, en 2020 se produjo un resurgimiento de los ataques. En septiembre de 2020, este malware afectó al 14% de las organizaciones en todo el mundo. Pero ¿qué es Emotet? ¿Y por qué es tan peligroso?

Emotet es un troyano sofisticado, se usa más comúnmente como cuentagotas para otro malware. Esto significa que después de obtener acceso a un dispositivo infectado, sus operadores pueden descargar payloads maliciosas adicionales, también conocidas como second-stage payloads, al equipo comprometido.

Esas cargas útiles de la segunda etapa pueden ser cualquier tipo de código malicioso, desde otras extensiones y módulos de Emotet hasta otro malware, como el ransomware.

Emotet generalmente se propaga y difunde a través de archivos adjuntos de correo electrónico de phishing o enlaces incrustados que, una vez que se hace clic o se abre, lanza payloads maliciosa. Luego, el malware intenta moverse lateralmente dentro de una red forzando las credenciales del usuario y escribiendo en unidades compartidas.

Desde principios de este año, numerosas agencias y proveedores de seguridad han informado de un aumento significativo en los ciberdelincuentes que se dirigen a las víctimas utilizando correos electrónicos de phishing de Emotet. Este aumento lo señala como una de las amenazas más frecuentes y continuas.

Durante 2020, pudimos rastrear parte de la actividad relacionada con la infección, analizando el acceso a sitios web asociados con este malware. De acuerdo con el tráfico analizado de numerosas geografías, pudimos ver un fuerte aumento de la infección en los meses de febrero, julio y octubre de 2020. Este aumento también fue observado por otros proveedores de seguridad.

Una buena estrategia de defensa

Al igual que con todo el malware, adoptar un enfoque de defensa en profundidad es la mejor forma de bloquear Emotet al principio de la cadena. Una SWG (Security Web Gateway) basada en la nube que analiza todos los DNS y URL salientes puede bloquear las solicitudes a los sitios de entrega de Emotet antes de que se realice cualquier conexión IP. En el caso de que un dispositivo se vea comprometido, ese mismo punto de control de seguridad puede bloquear de manera proactiva las solicitudes a los servidores CNC (Command & Control) cuando el malware intenta descargar cargas útiles de segunda etapa.

También se recomienda implementar un SWG que tenga múltiples motores de análisis de carga útil, en combinación con un punto final AV (Antivirus) o EDR (Endpoint Detection and Response). Eso le permite bloquear la carga útil de Emotet.

Para bloquear la infección inicial, se debe agregar una capa adicional de protección al punto de acceso al correo electrónico. Por ejemplo, una solución que puede brindar protección en tiempo real cuando se hace clic en un enlace malicioso y puede verificar el recurso que se solicita agrega protección adicional y puede bloquear intentos de phishing que no sean de correo electrónico, como los que se envían a través de redes sociales o aplicaciones de mensajería.

Finalmente, debemos seguir educando a los usuarios sobre el phishing: no abrir archivos adjuntos y no hacer clic en URL … y siempre pecar de cautelosos.

Federico Dios, director pre-venta de Akamai.

La entrada Emotet, un viejo conocido de la ciberseguridad que vuelve a sembrar el miedo aparece primero en MuyPymes

Muy PYMES
Enlace: Emotet, un viejo conocido de la ciberseguridad que vuelve a sembrar el miedo