La coordinació de les autoritats judicials i policials ha aconseguit neutralitzar un dels botnets més significatius de la darrera dècada: Emotet. Ara, els investigadors han pres el control de la seva infraestructura en una acció internacional coordinada.
Emotet ha estat un dels serveis de ciberdelinqüència més professionals i de llarga durada. Descobert per primera vegada com a troià bancari el 2014, el programari maliciós va evolucionar al llarg dels anys fins a convertir-se en la solució ideal per a ciberdelictes. La infraestructura Emotet va actuar essencialment com un obridor principal de sistemes informàtics a escala mundial. Un cop establert aquest accés no autoritzat, es va vendre a altres grups criminals de primer nivell per desplegar activitats il·lícites, com ara robatori de dades i extorsió.
El grup Emotet va aconseguir portar el correu electrònic com a vector d’atac al següent nivell. Mitjançant un procés totalment automatitzat, el programari maliciós Emotet es va lliurar als ordinadors de les víctimes mitjançant fitxers adjunts de correu electrònic infectats. Es van utilitzar diversos atractius per enganyar els usuaris que no confiaven en l’obertura d’aquests fitxers. En el passat, les campanyes de correu electrònic Emotet també s’havien presentat com a factures, avisos d’enviament i informació sobre COVID-19.
Tots aquests correus electrònics contenien documents de Word malintencionats, adjunts al mateix correu electrònic o que es podien descarregar fent clic a un enllaç del mateix correu. Un cop un usuari obria un d’aquests documents, se li podia demanar “habilita les macros” perquè el codi maliciós ocult al fitxer Word pogués executar i instal·lar programari maliciós Emotet a l’ordinador de la víctima.
Molts botnets com Emotet tenen una naturalesa polimòrfica. Això significa que el programari maliciós canvia el seu codi cada vegada que s’utilitza. Atès que molts programes antivirus analitzen a l’ordinador els codis de malware coneguts, un canvi de codi pot causar dificultats per detectar-lo, cosa que permet que la infecció quedi inicialment sense detectar.
Així, Emotet era molt més que un simple malware. El que va fer que Emotet fos tan perillós és que el programari maliciós es va llogar a altres cibercriminals per instal·lar altres tipus de programari maliciós, com ara troians bancaris o ransomware, a l’ordinador de la víctima.
Aquest tipus d’atac s’anomena ‘operador de càrrega’ i es diu que Emotet és un dels principals actors del cibercrim, ja que altres operadors de programari maliciós com TrickBot i Ryuk se n’han beneficiat.
La infraestructura que va utilitzar Emotet implicava diversos centenars de servidors ubicats a tot el món, tots ells amb diferents funcionalitats per gestionar els ordinadors infectats de les víctimes, estendre’s a d’altres, servir a altres grups criminals i, en última instància, fer la xarxa més resistent als intents de retirada.
Per interrompre greument la infraestructura Emotet, les forces de l’ordre es van unir per crear una estratègia operativa eficaç: les autoritats policials i judicials van adquirir el control de la infraestructura i la van retirar des de l’interior. Les màquines infectades de les víctimes es van redirigir cap a aquesta infraestructura controlada per la policia. Es tracta d’un enfocament únic i nou per aturar de manera eficaç les activitats dels facilitadors de ciberdelinqüència.
Aquesta operació és el resultat d’un esforç de col·laboració entre autoritats dels Països Baixos, Alemanya, els Estats Units, el Regne Unit, França, Lituània, el Canadà i Ucraïna, amb una activitat internacional coordinada per l’Europol i l’Eurojust. L’operació es va dur a terme en el marc de la Plataforma Multidisciplinària Europea contra les Amenaces Criminals (EMPACT).
_____
Esta entrada en español / This post in English / Post en français