La coordinación de las autoridades judiciales y policiales ha conseguido neutralizar uno de los botnets más significativos de la última década: Emotet. Ahora, los investigadores han tomado el control de su infraestructura en una acción internacional coordinada.

Emotet ha sido uno de los servicios de ciberdelincuencia más profesionales y más duraderos. Descubierto por primera vez como troyano bancario en 2014, el software malicioso evolucionó a lo largo de los años hasta convertirse en la solución ideal para ciberdelitos. La infraestructura Emotet actuó esencialmente como un abridor principal de sistemas informáticos a escala mundial. Una vez establecido este acceso no autorizado, se vendió a otros grupos criminales de primer nivel para desplegar actividades ilícitas, como robo de datos y extorsión.

El grupo Emotet consiguió llevar el correo electrónico como vector de ataque al siguiente nivel. Mediante un proceso totalmente automatizado, el software malicioso Emotet se entregó a los ordenadores de las víctimas mediante ficheros adjuntos de correo electrónico infectados. Se utilizaron varios cebos para engañar a los usuarios que no confiaban en la apertura de esos ficheros. En el pasado, las campañas de correo electrónico Emotet también se habían presentado como facturas, avisos de envío e información sobre COVID-19.

Todos esos correos electrónicos contenían documentos de Word malintencionados, adjuntos al mismo correo electrónico o que se podían descargar clicando a un enlace del mismo correo. Una vez un usuario abría uno de esos documentos, se le podía pedir “habilita las macros” para que el malware oculto en el fichero Word pudiera ejecutar e instalar software malicioso Emotet en el ordenador de la víctima.

Muchos botnets como Emotet tienen una naturaleza polimórfica. Eso significa que el software malicioso cambia su código cada vez que se utiliza. Dado que muchos programas antivirus analizan en el ordenador los códigos de malware conocidos, un cambio de código puede causar dificultades para detectarlo, cosa que permite que la infección quede inicialmente sin detectar.

Así, Emotet era mucho más que un simple malware. Lo que hizo que Emotet fuera tan peligroso es que el software malicioso se alquiló a otros cibercriminales para instalar otros tipos de software malicioso, como troyanos bancarios o ransomware, en el ordenador de la víctima.

Este tipo de ataque se llama ‘operador de carga’ y se dice que Emotet es uno de los principales actores del cibercrimen, ya que otros operadores de software malicioso como TrickBot y Ryuk se han beneficiado.

La infraestructura que utilizó Emotet implicaba varios centenares de servidores ubicados en todo el mundo, todos ellos con diferentes funcionalidades para gestionar los ordenadores infectados de las víctimas, extenderse a otros, servir a otros grupos criminales y, en última instancia, hacer la red más resistente a los intentos de retirada.

Para interrumpir gravemente la infraestructura Emotet, las fuerzas del orden se unieron para crear una estrategia operativa eficaz: las autoridades policiales y judiciales adquirieron el control de la infraestructura y la retiraron desde el interior. Las máquinas infectadas de las víctimas se redirigieron hacia esa infraestructura controlada por la policía. Se trata de un enfoque único y nuevo para detener de manera eficaz las actividades de los facilitadores de ciberdelincuencia.

Esta operación es el resultado de un esfuerzo de colaboración entre autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, con una actividad internacional coordinada por la Europol y la Eurojust. La operación se llevó a cabo en el marco de la Plataforma Multidisciplinar Europea contra las Amenazas Criminales (EMPACT).

_____

Aquest apunt en català / This post in English / Post en français