- Usuarios y empresas de
México y Brasil están entre los objetivos más atacados por el grupo, que
roba cuentas de correo electrónico, así como tarjetas de crédito, para
venderlas.
- El grupo también sirve de puerta de entrada para ataques de ransomware contra grandes compañías.
19 de diciembre de 2022
Emotet se
ha convertido en un "mercado" en el que el grupo que controla una botnet
–una red de ordenadores infectados que permite el acceso a la
información y el control remotos de un dispositivo comprometido– vende
servicios maliciosos a otros ciberdelincuentes. Esta es la principal
conclusión del análisis realizado por el Equipo de Investigación y
Análisis de Kaspersky en América Latina. Los objetivos de este grupo son
usuarios de internet, empresas y gobierno; sus integrantes roban
cuentas de correo electrónico (especialmente las guardadas en
navegadores), así como tarjetas de crédito, para venderlas
posteriormente, e incluso proporcionan acceso a ordenadores y servidores
comprometidos para que grupos de ransomware lleven a cabo sus ataques.
Este grupo fue detectado por primera vez en 2014 realizando fraudes
financieros a través de troyanos bancarios en todo el mundo. Desde
entonces, han cambiado sus actividades delictivas
y se han convertido en la mayor y más poderosa red de bots en
funcionamiento. Se han realizado varios esfuerzos para eliminarla, el
último (a principios de 2021) fue dirigido por la Europol,
apoyada por diversas agencias policiales de todo el mundo. A pesar del
éxito parcial, el grupo reconstruyó la infraestructura de la botnet y
resurgió con más fuerza.
Las tecnologías de Kaspersky muestran que el número total de víctimas se
triplicó en tan solo un mes: de 2,843 en febrero de 2022 a 9,086 en
marzo de este mismo año. En cuanto al número de bloqueos, el crecimiento
fue proporcional y la empresa registró 16,897 intentos de infección en
febrero y 48,597 en marzo. Considerando sólo los países
latinoamericanos, México ocupa la segunda posición entre las naciones
afectadas y Brasil la cuarta en el ranking global, con un aumento de
14,000 bloqueos a 357,000 entre febrero y marzo y de 4,000 a 52,000 en
el mismo periodo, respectivamente. Otros países afectados son Colombia
(35º), Chile (40º), Paraguay (48º), Ecuador (50º), Uruguay (54º),
Argentina (62º), Perú (66º) y Cuba (75º). |
|
La
infección por Emotet se produce a través de campañas de correo
electrónico (spam) con archivos maliciosos de Microsoft Office (macro)
que se encargan de crear una puerta trasera y realizar diversas tareas
maliciosas, las principales son las siguientes:
- Creación de perfiles de las máquinas infectadas.
Roba datos básicos de la máquina infectada para crear un perfil. Con
esta información, el grupo sabrá si el dispositivo pertenece a un
usuario común o a una empresa o gobierno, lo que determinará el uso y el
valor comercial de cada víctima.
- Robo de credenciales de cuentas de correo electrónico.
Utiliza la herramienta legítima de Nirsoft para obtener la dirección de
correo electrónico y la contraseña de los usuarios, y venderlas a otros
delincuentes o brindarles servicios de envío de spam y phishing.
- Robo de credenciales guardadas en navegadores.
Para esta acción también utiliza la herramienta de Nirsoft a fin de
capturar los nombres de usuario y contraseñas guardados en el navegador.
Aunque estos datos están cifrados, los delincuentes son capaces de
evadirlo y acceder a la información sensible. Las consecuencias
dependerán del tipo de cuenta, por ejemplo: las credenciales bancarias
se utilizarán para fraudes financieros, los inicios de sesión en
plataformas de streaming se venderán en mercados ilegales, las
credenciales de tiendas online se utilizarán en fraudes comerciales,
etc.
- Robo de tarjetas de crédito guardadas en el navegador. Esto sólo afecta al navegador Chrome y su objetivo es vender la información a grupos de fraude financiero.
- Acceso por la puerta trasera de la máquina.
Este se ha convertido en el servicio más rentable del grupo y es donde
el perfil de las máquinas infectadas adquiere mayor importancia, ya que
estos accesos se comercian con grupos que realizan ataques de
ransomware. Al comprar a un empleado el acceso con derechos de
administrador a los servidores, los grupos de ransomware sólo tienen que
copiar los datos y bloquear las máquinas, pues el 80% del trabajo lo ha
realizado ya Emotet.
"También hay un módulo de difusión en red muy eficaz, que hace que
la infección ‘salte’ de una máquina a otra que esté en la misma red.
Esta característica y la longevidad con la que el malware permanece en
las máquinas hacen de Emotet una de las mayores redes de bots que operan
en el mundo. Otra conclusión importante de nuestro análisis es que una
infección por Emotet es un aviso importante de un posible ataque de
ransomware", afirma
Fabio Marenghi, analista senior de Seguridad para América Latina en Kaspersky.
Para evitar la infección por Emotet, los expertos de Kaspersky recomiendan:
- Tener cuidado al abrir archivos de Office (Excel y Word) que hayan sido enviados por correo electrónico.
Comprueba el remitente y el nombre del archivo adjunto. Muchos
programas maliciosos se esconden detrás de facturas o promociones, pero
el remitente nunca coincide con el señuelo del spam/phishing. En este
caso, no abra nunca el archivo.
- En el caso de las empresas, los archivos adjuntos se
pueden disfrazar de una solicitud de presupuesto o un currículum. El
mismo consejo sobre revisar la información es válido, pero en algunos
casos, el empleado tendrá la "obligación" de abrir la trampa. En este
caso, asegúrate de que tu solución de seguridad puede bloquear programas
maliciosos que utilizan PowerShell y otras herramientas legítimas.
- Mantener todos los programas y sistemas operativos actualizados a fin de evitar que Emotet aproveche las vulnerabilidades de estos para infiltrarse en los equipos.
- No guardar contraseñas en los navegadores,
ya que los delincuentes pueden acceder a esta información. Para
agilizar el acceso a los servicios y páginas en línea, usa un gestor de
contraseñas como Kaspersky Password Manager, ya que estas herramientas utilizan un cifrado moderno que no se puede vulnerar.
- Proteger todos sus dispositivos domésticos o empresariales con una solución de seguridad de confianza como Kaspersky Total Security (para el hogar), Kaspersky Endpoint Security Cloud (para pequeñas empresas) o Kaspersky Endpoint Detection and Response (EDR, para medianas y grandes empresas).
No hay comentarios:
Publicar un comentario