Ha vuelto el «virus EMOTET»

By: admin Encendido: 29 octubre, 2019 In: Ciberseguridad

El pasado día 24 de septiembre el INCIBE emitía un comunicado de alerta sobre una nueva campaña de correos adjuntos maliciosos con nivel 4 importancia alta (Las alertas del Incibe vienen catalogadas según el nivel de criticidad del 1 bajo riesgo a 5 Crítico). Días antes ya se habían detectado dichos correos que consistían en un remitente conocido, desde una conversación anteriormente generada en la cuenta de correo hackeada y archivo adjunto tipo .DOC. El virus viene de una conversación autentica y real, de un contacto real, pero desde otra cuenta de correo, ya que lo que hace es suplantar la identidad de la cuenta hackeada con toda la información. Más de un mes después todavía nos encontramos que de 58 antivirus analizados solamente 19 detectan dicho virus, como podéis ver en el pdf o en el link de virus total.

virus emotet

Ampliamos la información sobre el virus EMOTET, la fuente es el Centro Criptológico Nacional:

Campaña troyano EMOTET

Fecha de publicación: 07/10/2019
Nivel de peligrosidad: Muy alta

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, alerta a su Comunidad de una campaña muy agresiva de ataques del troyano EMOTET contra los usuarios finales. Aunque EMOTET tiene diferentes módulos y funcionalidades, su objetivo en esta ocasión está siendo el robo de credenciales bancarias pero, por su funcionamiento, no se descarta que pudiera cambiar su finalidad.

La campaña comenzó a mediados de septiembre y se distribuye a través de correos electrónicos que tienen un documento ofimático (Word) con macros que, al ser activadas, infectan el equipo. Los correos electrónicos suelen llevar algún asunto genérico para evitar ser sospechoso: «Propuesta», «Respuesta», «Privacidad» o «Nueva Plantilla».

Sistemas afectados

Cualquier versión de Microsoft Windows.

Medidas de prevención

Para prevenir la infección para esta campaña concreta se pueden seguir las siguientes recomendaciones:

  • Instalación de la herramienta EMOTET-stopper en todos los equipos Windows a proteger, disponible desde el siguiente enlace: http://ccn-cert.net/emotet2019
    Se deberán habilitar los mecanismos necesarios para que se ejecute tras cada reinicio.
    En caso de que el Antivirus o Sistema Operativo detecten la herramienta como código dañino, se deberá excepcionar para evitar su eliminación.
    La herramienta se ejecuta en segundo plano por lo que solo se verá desde el Administrador de tareas.
  • Dado que el vector principal de infección de esta campaña de EMOTET es el correo electrónico, recomendamos revisar la Guía de Buenas Prácticas del CCN-CERT sobre dicha temática: http://ccn-cert.net/bpmail
  • Dado que el vector principal de infección de esta campaña de EMOTET es el correo electrónico, recomendamos revisar la Guía de Buenas Prácticas del CCN-CERT sobre dicha temática:
  • De la misma manera se recomienda deshabilitar Powershell en aquellos equipos en los que no sea necesaria la ejecución de comandos en dicho lenguaje.
  • El CCN-CERT ha recopilado en 3 listas negras los indicadores que permiten la detección y bloqueo de gran parte de esta campaña: listas de IP, dominios y hashes de las muestras empleadas. Pueden descargar dichas listas aquí: http://ccn-cert.net/emotet-ioc
  • EMOTET puede desplegar el troyano bancario Trickbot para robo información, seguido en última instancia del ransomware Ryuk sobre los equipos infectados. Actualmente no existe forma de descifrar los ficheros afectados por esta familia. Recomendamos la lectura de la Guía de Buenas Prácticas sobre Ransomware que el CCN-CERT ha elaborado: http://ccn-cert.net/bpransomware
  • Mantener el Sistema Operativo, el antivirus actualizado y disponer de copias de seguridad offline (sin conexión con la red).

Medidas de detección

  • Para contrarrestar los efectos de esta campaña, el CCN-CERT recomienda la búsqueda en la red de los Indicadores de Compromiso (IOC). Concretamente se debe realizar la búsqueda en los registros de conectividad (proxy/firewall/DNS) para comprobar si ha existido conectividad con los dominios o IP incluidos en las listas negras (http://ccn-cert.net/emotet-ioc)
  • Para la detección en los equipos se puede utilizar las siguiente regla YARA: http://ccn-cert.net/emotet-yara

Medidas de mitigación

  • Utilizar los indicadores proporcionados para identificar qué equipos se encuentran afectados por la campaña.
  • Sobre dichos equipos se deberá realizar una copia de seguridad de la información, incluso si éstos han sido cifrados por ransomware y no se dispone de copia de los mismos. En caso de tener copia de seguridad, se recomienda que tome medidas necesarias para que no sea comprometida. Por ejemplo, en caso de disponer de copia offline, haga una copia de la misma antes intentar la restauración al conectarla a los sistemas afectados.
  • Tras ello será necesaria la reinstalación completa de todos los equipos afectados, es importante realizar este paso y NO intentar limpiar los mismos (ya que la reinfección de equipos es probable si no se realiza la reinstalación).
  • El Directorio Activo del Dominio ha de ser reconstruido de nuevo reseteando las credenciales de todos los usuarios.

Referencias complementarias:

Atentamente,

Equipo CCN-CERT