Según IBM X-Force, el malware Emotet se ha propagado recientemente en Alemania y Japón, atacando cada vez de forma más agresiva a las empresas de la zona.
Emotet es un troyano bancario que se propaga mediante archivos adjuntos de correo electrónico con macros habilitadas que contienen enlaces a sitios maliciosos. Funciona principalmente como descargador de otro malware, como el troyano TrickBot y el ransomware Ryuk. Gracias a su naturaleza polimórfica, puede evadir los métodos tradicionales de detección basados en firmas, lo que dificulta especialmente su combate. Una vez infiltrado en un sistema, infecta los procesos en ejecución y se conecta a un servidor de comando y control remoto para recibir instrucciones, ejecutar descargas y cargar datos robados.us-cert.gov).
Tradicionalmente, Emotet ha utilizado notificaciones de facturación corporativa para camuflarse, a menudo imitando la marca de instituciones prestigiosas para aparentar legitimidad. Esta estrategia le permitió atacar a víctimas en EE. UU. (52 % de todos los ataques), Japón (22 %) y países de la UE (japón.zdnet.com). Un incidente ocurrido en diciembre de 2019 provocó que la ciudad de Frankfurt, sede del Banco Central Europeo, cerrara sus puertas. network (zdnet.com).
En Japón, sin embargo, el malware ha actuado con mucha mayor agresividad en comparación con los años anteriores. Se reportó un aumento de actividad a finales de 2019 y, recientemente, tras el brote de coronavirus en China, Emotet cambió de táctica y ahora se está propagando por todo Japón en forma de falsas advertencias de salud pública, con informes alarmantes de casos de coronavirus en las prefecturas de Gifu, Osaka y Tottori.Intercambio de IBM X-Force).
Esta es una buena ilustración de lo que hace que este tipo de malware sea tan peligroso: no solo es resistente a la detección mediante métodos basados en firmas, sino que también manipula las emociones humanas básicas para diseminarse.
Por lo tanto, la protección contra Emotet requiere medidas más complejas. Además de una prevención bien fundamentada, una forma eficaz de afrontarlo es basarse en el análisis de comportamiento para buscar indicadores de compromiso (IoC). En el caso de Flowmon, esto se materializa en el patrón de comportamiento InformationStealers (BPattern), que existe como método de detección estándar en Anuncios de Flowmon y describe los síntomas de la presencia de Emotet en el network.
Los patrones B se pueden considerar como una especie de descripción de cómo se manifiestan diferentes actores maliciosos en el networkPermiten al sistema distinguir las amenazas de otras actividades mientras monitorea y evalúa críticamente el tráfico. A diferencia de las firmas tradicionales, los BPatterns no buscan un fragmento de código específico y, por lo tanto, conservan su capacidad de identificar amenazas incluso a medida que se transforman y progresan a lo largo de su ciclo de vida.
Según un análisis publicado por Fortinet, Emotet utiliza 5 URL para descargar la carga útil y 61 servidores C&C codificados de forma rígida (fortinet.com/blogEsta información se incluye en el BPattern y el sistema la utiliza para reconocer la infección y contenerla antes de que se propague. Para mayor protección, también existe un BPattern para TrickBot (TOR_Malware). Ambos patrones se actualizan periódicamente según la evolución de los troyanos y se envían a los usuarios como parte de las actualizaciones regulares. Orizon Systems, socio de Flowmon, nos alertó del aumento de la incidencia del malware Emotet y nos proporcionó la actualización más reciente.
Pero ninguna protección es infalible y se recomienda a todos mantener varias capas de ciberprotección implementadas y actualizadas, incluidos antivirus, detección de IoC en firewalls, sistemas de detección de intrusiones (IDS) y análisis de comportamiento en el networkDebido a que Emotet se propaga mediante correos electrónicos falsos, los usuarios deben tener cuidado al abrir archivos adjuntos, especialmente aquellos que entran en contacto diario con facturas y documentos de terceros, e informar cualquier correo electrónico sospechoso o inusual al equipo de seguridad.
Para obtener más información sobre la detección de amenazas mediante Flowmon ADS, Contactar con nosotros Para más información o probar un demostración.
Comparte este blog:
Timur es el fundador y director ejecutivo de NEOX Networks, Un proveedor líder de network Soluciones de visibilidad y seguridad. Con más de 25 años de experiencia en el sector, Timur comprende a fondo los desafíos que enfrentan los equipos de TI y OT actuales. network y dominios de seguridad. Le apasiona aprovechar la tecnología para resolver problemas complejos y cree que la eficacia network La visibilidad es fundamental para el éxito de cualquier organización en lo que respecta a la disponibilidad y seguridad de las aplicaciones empresariales. Timur se compromete a ofrecer soluciones innovadoras que satisfagan las necesidades cambiantes de los clientes de NEOX.