Page 54

M O N O G R Á F I C O · C I B E R S E G U R I D A D C O R P O R AT I VA

¿H A DE SA PA RECIDO RE A LMEN T E EMOT E T PA R A SIEMPRE ? Emotet es un troyano bancario, polimórfico y difícil de detectar con el uso de firmas; su objetivo es robar datos, lo que incluye las credenciales de usuario almacenadas en navegadores o espiar el tráfico de Internet.

JORGE PAGES INGENIERO PREVENTA DE WATCHGUARD TECHNOLOGIES

La respuesta a esta pregunta sigue abierta, pero esperamos que pueda volver de alguna forma. La operación coordinada por Europol y Eurojust para el desmantelamiento de Emotet, una de las botnets más activas y peligrosas, fue un éxito, pero los expertos en ciberseguridad advierten de que el malware tiene la costumbre de resurgir de forma inteligente e inesperada. Por tanto, en el caso de la botnet Emotet no es de extrañar que pueda ocurrir lo mismo.

¿QUÉ ES EMOTET, CÓMO SE ESPARCE Y PERSISTE? Empecemos por el principio: Emotet es un troyano bancario, polimórfico y difícil de detectar con el uso de firmas. Su objetivo es robar datos, lo que incluye las credenciales de usuario almacenadas en navegadores o espiar el tráfico de Internet. Emotet es peligroso no solo por su capacidad ilimitada de esparcirse aprovechando la vulnerabilidad de 54

M AY/J U N 21

CUADERNOS DE SEGURIDAD

EternalBlue e infectar los endpoints con sistemas sin parches, sino también por su efectividad en cuanto a persistencia y propagación de red: Emotet se utiliza con frecuencia para descargar otro tipo de malware, como spyware o ransomware, y es conocido en particular como una herramienta que esparce troyanos bancarios, como Qakbot y TrickBot. Los sistemas comprometidos a menudo entran en contacto con servidores C&C de Emotet para buscar actualizaciones, enviar información desde los equipos comprometidos y ejecutar ataques sin archivo con el malware descargado. Por lo general, Emotet se esparce a través del email, en adjuntos infectados o URL incrustadas. Puede parecer que los correos electrónicos tienen un origen confiable, ya que Emotet toma control de las cuentas de correo electrónico de sus víctimas. Esto ayuda a engañar a otros usuarios para que descarguen el troyano en su sistema.

RESPUESTA A INCIDENTES Y CORRECCIÓN Dada la manera en que Emotet se esparce por la red corporativa, cualquiera de los endpoints infectados en