El retorn de l’amenaça Emotet

Es tracta d’un programari maliciós d’alt risc dissenyat per a recollir dades personals i escampar altres ‘malwares’.

Aquest mes de juliol ha tornat amb força un troià que ja havia fet estralls en el món empresarial, i també en el sector públic. Porta per nom Emotet, i les seves intrusions en els dispositius comprometen informació sensible, des de contrasenyes fins a dades bancàries. Després d’introduir-se en el sistema, aquest programari maliciós modifica els ajustos i permet obtenir el control de l’equip infectat.

Com sempre, la prevenció i tenir una bona política de ciberseguretat per part de l’empresa són les millors armes per evitar la infecció d’Emotet. Aquest troià pot arribar a través de correus electrònics, anuncis maliciosos d’Internet, amb programari piratejat i a través de l’enginyeria social.

Està dissenyat originalment com un “troià bancari”, ja que els principals danys causats són el robatori d’informació bancària i de contrasenyes, però també ha evolucionat cap a la suplantació d’identitat. L’equip que n’ha estat víctima s’afegeix a una xarxa de zombis (botnet).


Emotet, Trickbot i Ryuk

Els cibercriminals poden usar l’Emotet per a la descàrrega d’altres programaris maliciosos, com per exemple un ransomware. Durant el 2019 va ser especialment rellevant la campanya d’atacs dirigits a organitzacions que utilitzaven Emotet per descarregar un segon malware, anomenat Trickbot, precursor d’atacs de ransomware, ja que és emprat per executar el ransomware Ryuk sobre la xarxa de la víctima i xifrar-ne la informació.

El Ryuk té particularitats com la d’incloure en una “llista blanca” un seguit de fitxers i carpetes que no xifra, característica que permet mantenir l’estabilitat de l’amfitrió i atacar només aquells fitxes sensibles. Van a allò important, i aconsegueixen un atac persistent que provoca, per exemple, que reiniciar el sistema no serveixi per a res.

El funcionament és el següent. En una primera fase, s’infecta la víctima amb el programari maliciós del tipus botnet Emotet a través de campanyes de phishing rebudes al correu electrònic. L’equip infectat passa a formar part d’una xarxa de dispositius sobre els que el ciberdelinqüent disposa d’accés i control.


En una segona fase, l’operador de la botnet força la descàrrega de Trickbot per encàrrec d’un nou actor cibercriminal a canvi d’un pagament per infecció o PPI. Aquest darrer actor obté el control dels equips infectats.


A partir de l’equip infectat, els cibercriminals es desplacen per la xarxa de l’organització de la víctima, fent ús de tècniques de desplaçament lateral, escalada de privilegis i captura de credencials. Els ciberatacants procuraran obtenir un esquema de la xarxa per atacar amb l’objectiu de localitzar els sistemes més crítics on desplegar el ransomware.


Una altra singularitat de tot aquest procés és que és habitual que els ciberatacs comencin en cap de setmana. L’empresa de seguretat Morphisec indica que els atacs “es dispersen a mesura que els primers empleats que tornen a la feina després del cap de setmana s’autentifiquen en la xarxa compromesa”.


Com aturar l’Emotet?

Refer-se d’una infecció d’Emotet no és gens fàcil, i pot requerir de coneixements informàtics avançats. Contacteu amb empreses professionals en ciberseguretat en cas de sospitar haver rebut l’atac d’aquest troià.

Per aquest motiu, el millor és la prevenció, establir totes les barreres possibles perquè atacs com aquest no arribin als dispositius de l’empresa. En el cas concret de l’Emotet i per la seva manera habitual d’introduir-se a l’equip:

Cal sospitar dels fitxers i enllaços que ens arriben a través de correu electrònic, tenir-ne una mirada crítica, especialment si estan fora de context. Per posar només algun exemple molt habitual: quin sentit té que un banc en el que no hi has tingut mai cap compte corrent et digui que entris en un determinat enllaç en un termini determinat o et congelarà el compte? O que un amic que no té res a veure amb la teva feina ni li has encarregat cap tasca et digui que t’adjunta una factura en el correu?

– Tingueu en compte que entre els diferents mètodes d’infecció destaca especialment els documents Word amb macros activades, que forcen la descàrrega i infecten el dispositiu amb Emotet. Sospiteu de qualsevol document de Word que requereixi que les macros siguin habilitades abans que es pugui visualitzar el contingut

Obriu els documents de Word en primer lloc al núvol, com ara a Google Docs, fet que impedeix que el programari maliciós s’instal·li al dispositiu.