Deceptive Bytes: Todo sobre el malware Emotet (caso de estudio)

• miércoles 2 marzo, 2022

Todos los días, el malware ataca a nivel mundial a organizaciones y empresas de todos los tamaños, afectando sus actividades diarias y causando importantes pérdidas económicas y de reputación a las empresas. El malware es altamente inteligente y evasivo y utiliza varias técnicas para evadir la detección y el análisis por parte de los sistemas de seguridad e investigadores, Además, el grupo APT que lanzan campañas masivas de spam por correo electrónico infectando usuarios aleatoriamente (siendo los,  empleados descuidados o apresurados los más vulnerables incluso si el las computadoras están ejecutando un software antivirus actualizado), ahora cuentan con el apoyo de operadores de ataque evolucionados que trabajan en estructuras organizadas verticalmente. Hoy en día, el nombre Emotet aparece repetidamente en las noticias en relación con ciberataques realmente graves contra empresas e instituciones. En 2019, se denominó a Emotet el malware más peligroso del mundo, porque ha causado daños que ascienden a millones de dólares. 

«Quizás te interese leer nuestro articulo: Entrevista con Sagi Lamay; CEO de Deceptive Bytes»

Por ello que en este artículo te diremos qué es Emotet, cómo funciona y te mostraremos un caso de estudio sobre este tipo de ataques y cómo se solucionó gracias a la tecnología de engaño de Deceptive Bytes. 

¿Qué es Emotet?

Emotet pertenece a la variedad de malware conocida como troyanos bancarios porque apareció así por primera vez en 2014. El ataque tenía como objetivo interceptar los datos de acceso de los clientes de bancos alemanes y austríacos. Emotet que ataca principalmente a través de correos electrónicos no deseados fue capaz de recargar y ejecutar una gran variedad de otros módulos con otras funciones maliciosas.

¿Por qué Emotet es tan peligroso?

Un aspecto que hace que Emotet sea particularmente peligroso es que desde finales de 2018, el malware ha sido capaz de analizar los contactos y el contenido de correos de los buzones de los sistemas infectados utilizando la llamada “Outlook Harvesting” con el fin de lanzar más ataques sobre esta base. La propagación es extremadamente rápida. Los destinatarios recibirán correos electrónicos verdaderos de personas con las que estuvieron recientemente en contacto o con una marca familiar, imitando el formato de correo electrónico de empresas conocidas y confiables como PayPal o DHL para convencer a los usuarios. Además, de acuerdo con un estudio realizado por ESET , en México el malware Emotet es una de las dos amenazas informáticas más comunes aplicadas por los ciberdelincuentes a empresas e instituciones.

¿Cómo funciona el malware Emotet?

Como ya dijimos este tipo de malware ingresa a la red a través de un correo electrónico de phishing que contiene un archivo encriptado y protegido con contraseña. El usuario desbloquea el archivo, que «detona» el malware, lo que le permite acceder al endpoint y, en última instancia, propagar el malware a través de la red. A medida que se propaga por la red, contacta a sus servidores de Comando y Control (C2) para mutar dinámicamente el archivo ejecutable para evadir las herramientas tradicionales de detección y reparación de malware. Posteriormente, los Posteriormente, los ciberdelincuentes utilizan Emotet para realizar ataques DDoS como parte de una red Botnet (los botnets son redes de dispositivos informáticos secuestrados que se utilizan para llevar a cabo diversas estafas y ataques cibernéticos).

Caso de estudio y solución Deceptive Bytes 

A continuación, explicaremos el caso de una importante empresa del sector de servicios de eventos ubicada en Europa Occidental, que siempre ha estado atenta a las inversiones en temas de tecnología y seguridad informática. La protección de los sistemas internos, los datos, el registro de clientes y las transacciones de compra de entradas de acceso con sistemas de ticketing online son las prioridades que han llevado a la compañía a realizar elecciones de máxima seguridad y a anticipar posibles opciones con soluciones innovadoras frente a ciberataques.

A finales principios del 2020, tras las noticias de ataques a otras organizaciones de servicios de eventos, la propagación de la pandemia y la necesidad de operar en smart working, y ante el aumento de la superficie de ataque potencial y la vulnerabilidad, la compañía ha optado por una visión de futuro para implementar soluciones innovadoras de ciberseguridad capaces de proteger y, sobre todo, prevenir aún más a la empresa y a los propios empleados de posibles ataques en continua evolución.

El Reto

Durante la temporada navideña, que es una época en la que los ataques aumentan debido a la falta de atención y supervisión, un usuario abrió un correo electrónico malicioso que contenía Emotet, pensando que era un documento de licitación legítimo protegido por contraseña (dirigido a la empresa). Habilitó la macro en el archivo de Word que inició con el ataque de malware. Debido a la configuración del cliente, la detección de las cargas útiles de la primera etapa (protección de Office en este caso) estaba desactivada, por lo que el documento ejecutó un código malicioso de PowerShell que descargó e inició un archivo ejecutable. Luego, el agente detectó la ejecución del archivo desconocido y activó el motor Deception en él, que detectó el ejecutable malicioso (carga útil de la segunda etapa) y neutralizó la amenaza de inmediato.

La solución 

Deceptive Bytes proporciona una plataforma de engaño completamente centrada en el punto final que utiliza la infraestructura de TI existente, responde a la naturaleza cambiante del panorama de amenazas avanzadas e interfiere con los intentos de los atacantes de reconocer y apoderarse de la TI de la empresa, en una solución preventiva que cubre técnicas y defensas de malware sofisticadas en varias formas.

Hacer creer al malware que se encuentra en un entorno poco atractivo/hostil para atacar, lo que reduce su motivación para atacar y la posibilidad de infección. Responder dinámicamente a las amenazas a medida que evolucionan, en función de la etapa actual de compromiso detectada y cambiar el resultado del ataque.

«Más vale prevenir que curar, decía un anciano anuncio publicitario…. Con la tecnología de  engaño de Deceptive Bytes y el soporte de seguridad de TI, hemos agregado un nivel de protección, pero sobre todo de prevención de ataques, garantizando nuestros sistemas un nivel muy alto de seguridad»

Director de Sistemas de Información (empresa de eventos a nivel mundial). 

Información de prevención y detección tal como se muestra en el servidor de administración del cliente

Conclusión

La solución de Deective Bytes proporcionó capacidades de prevención inmediata al cliente mientras el usuario abría por error un archivo malicioso. La solución operó automáticamente sin la intervención del operador, reduciendo el tiempo de permanencia de prevención y detección a cero, y salvaguardando a la organización de un ataque desconocido y, potencialmente, de cualquier mutación de la misma.

El equipo de Deective Bytes alertó al cliente y a soporte de incidentes, lo que les permitió investigar más a fondo el malware a su conveniencia y eliminar cualquier otra amenaza relacionada, manteniendo la seguridad de la organización.

Deceptive Bytes, líder en tecnología de engaño de puntos finales, proporciona su plataforma Active Endpoint Deception a empresas y MSSP, lo que les permite la prevención en tiempo real de amenazas desconocidas y sofisticadas. La solución responde dinámicamente a las amenazas a medida que evolucionan, en función de la etapa actual de compromiso detectada y cambia su resultado, lo que brinda a los defensores la ventaja en la protección de sus activos y datos.

Si deseas conocer más acerca de la plataforma Deceptive Bytes y obtener una demo gratuita de la mano de los expertos, solicita una asesoría gratuita. Un representante Advance estará encantado (a) de brindarte todo el apoyo que necesitas.

En Advance Networks somos una empresa de telecomunicaciones y ciberseguridad con más de 20 años de experiencia en el mercado y tenemos el propósito de acompañar a las empresas a través de las marcas más eficientes del mercado en su camino a potenciar la ciberseguridad en su transformación digital, proporcionando soluciones a la medida de las necesidades de nuestros clientes.