Malware Emotet afecta a Bancos a través de MalSpam sepa como Mitigarlo

Emotet es un troyano bancario modular y avanzado que funciona principalmente como descargador o descargador de otros troyanos bancarios. Emotet sigue estando entre los programas maliciosos más costosos y destructivos que afectan a los gobiernos estatales, locales, tribales y territoriales (SLTT), y a los sectores público y privado.

Pérdidas Económicas

Emotet sigue siendo uno de los programas maliciosos más costosos y destructivos que afectan a los gobiernos de SLTT. Sus características similares a los gusanos dan como resultado una infección que se propaga rápidamente en toda la red, las cuales son difíciles de combatir. Las infecciones de Emotet han costado a los gobiernos de SLTT hasta $ 1 millón de dólares por cada incidente para remediarlas.

Funcionamiento

Emotet es un troyano bancario modular y avanzado que funciona principalmente como descargador o descargador de otros troyanos bancarios. Además, Emotet es un troyano bancario polimórfico que puede evadir la detección típica basada en firmas. Cuenta con varios métodos para mantener la persistencia, incluidos los servicios y las claves de registro de inicio automático. Utiliza bibliotecas de enlaces dinámicos (DLL) para evolucionar y actualizar continuamente sus capacidades. Además, Emotet es consciente de la máquina virtual y puede generar indicadores falsos si se ejecuta en un entorno vi

Emotet se difunde a través de malspam (correos electrónicos que contienen archivos adjuntos o enlaces maliciosos) que utilizan una marca familiar para el destinatario; incluso se ha propagado utilizando el nombre MS-ISAC. A partir de julio de 2018, las campañas más recientes imitan recibos de PayPal, notificaciones de envío o facturas "vencidas" supuestamente de MS-ISAC. La infección inicial se produce cuando un usuario abre o hace clic en el enlace de descarga malintencionado, el PDF o el documento de Microsoft Word habilitado para macros incluido en el malspam. Una vez descargado, Emotet establece la persistencia e intenta propagar las redes locales a través de módulos esparcidores incorporados.

Figura 1: Correo electrónico malicioso distribuyendo Emotet.

Actualmente, Emotet utiliza cinco módulos de distribución conocidos:

1. NetPass.exe

2. WebBrowserPassView

3. Mail PassView

4. Rascador de Outlook

5. Enumerador de credenciales

01 NetPass.exe: es una utilidad legítima desarrollada por NirSoft que recupera todas las contraseñas de red almacenadas en un sistema para el usuario que ha iniciado sesión actualmente. Esta herramienta también puede recuperar contraseñas almacenadas en el archivo de credenciales de unidades externas.

02 WebBrowserPassView: es una herramienta de recuperación de contraseña que captura las contraseñas almacenadas por Internet Explorer, Mozilla Firefox, Google Chrome, Safari y Opera y las pasa al módulo del enumerador de credenciales.

03 Mail PassView: es una herramienta de recuperación de contraseña que revela las contraseñas y los detalles de la cuenta para varios clientes de correo electrónico como Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail, y Gmail y los pasa al módulo del enumerador de credenciales.

04 El raspador de Outlook: es una herramienta que raspa nombres y direcciones de correo electrónico de las cuentas de Outlook de la víctima y utiliza esa información para enviar correos electrónicos de phishing adicionales desde las cuentas comprometidas.

05 Enumerador de credenciales: es un archivo RAR autoextraíble que contiene dos componentes: un componente de derivación y un componente de servicio. El componente de omisión se usa para la enumeración de los recursos de red y encuentra unidades de escritura compartibles mediante el uso del Bloque de mensajes del servidor (SMB) o intenta forzar las cuentas de los usuarios, incluida la cuenta del administrador. Una vez que se encuentra un sistema disponible, Emotet escribe el componente de servicio en el sistema, que escribe Emotet en el disco. El acceso de Emotet a SMB puede provocar la infección de dominios completos (servidores y clientes).

Figura 2: Proceso de Infección Emotet

Para mantener la persistencia, Emotet inyecta código en explorer.exe y otros procesos en ejecución. También puede recopilar información confidencial, incluido el nombre del sistema, la ubicación y la versión del sistema operativo, y se conecta a un servidor de control y comando remoto (C2), generalmente a través de un nombre de dominio de 16 letras generado que termina en ".eu". Once Emotet establece una conexión con el C2, informa una nueva infección, recibe datos de configuración, descarga y ejecuta archivos, recibe instrucciones y carga datos en el servidor C2.

Los artefactos de Emotet generalmente se encuentran en rutas arbitrarias ubicadas fuera de los directorios AppData \ Local y AppData \ Roaming. Los artefactos generalmente imitan los nombres de ejecutables conocidos. La persistencia generalmente se mantiene a través de tareas programadas o mediante claves de registro. Además, Emotet crea archivos con nombres aleatorios en los directorios raíz del sistema que se ejecutan como servicios de Windows. Cuando se ejecutan, estos servicios intentan propagar el malware a sistemas adyacentes a través de recursos compartidos administrativos accesibles.

Nota: es esencial que las cuentas con privilegios no se utilicen para iniciar sesión en sistemas comprometidos durante la remediación, ya que esto puede acelerar la propagación del malware.

Impacto

Las consecuencias negativas de la infección por Emotet incluyen pérdida temporal o permanente de información confidencial o de propiedad exclusiva, interrupción de las operaciones regulares, pérdidas financieras incurridas para restaurar sistemas y archivos, y daño potencial a la reputación de una organización.

Solución

Se recomiendan que las organizaciones se adhieran a las siguientes mejores prácticas generales para limitar el efecto de Emotet y malspam similar:

1. Utilice el objeto de políticas de grupo para establecer una regla de Firewall de Windows para restringir la comunicación SMB entrante entre los sistemas cliente. Si utiliza un sistema alternativo de prevención de intrusiones basado en host (HIPS), considere implementar modificaciones personalizadas para el control de la comunicación SMB de cliente a cliente. Como mínimo, cree un objeto de directiva de grupo que restrinja las conexiones SMB de entrada a los clientes que se originan de los clientes.

2. Utilice programas de antivirus, con actualizaciones automáticas de firmas y software, en clientes y servidores.

3. Aplique los parches y actualizaciones apropiados inmediatamente (después de las pruebas apropiadas).

4. Implemente filtros en la puerta de enlace del correo electrónico para filtrar los correos electrónicos con indicadores conocidos de malspam, como las líneas de asunto maliciosas conocidas, y bloquee las direcciones IP sospechosas en el firewall.

5. Si su organización no tiene una política con respecto a correos electrónicos sospechosos, considere crear uno y especifique que todos los correos electrónicos sospechosos deben informarse al departamento de seguridad o al departamento de TI.

6. Marque los correos electrónicos externos con un banner que indica que proviene de una fuente externa. Esto ayudará a los usuarios a detectar correos electrónicos falsificados.

7. Proporcionar a los empleados formación en ingeniería social y phishing. Inste a los empleados a no abrir correos electrónicos sospechosos, hacer clic en los enlaces contenidos en dichos correos electrónicos o publicar información confidencial en línea, y nunca proporcionar nombres de usuario, contraseñas o información personal en respuesta a cualquier solicitud no solicitada. Educar a los usuarios para que se desplacen sobre un enlace con su mouse para verificar el destino antes de hacer clic en el enlace.

8. Considere bloquear los archivos adjuntos que se asocian comúnmente con malware, como .dll y .exe, y los archivos adjuntos que no pueden ser analizados por software antivirus, como los archivos .zip.

9. Cumpla con el principio de privilegio mínimo, asegurándose de que los usuarios tengan el nivel mínimo de acceso requerido para cumplir con sus deberes. Limite las credenciales administrativas a los administradores designados.

10. Implemente la autenticación, el informe y el cumplimiento de mensajes basados ​​en el dominio (DMARC), un sistema de validación que minimiza los correos electrónicos no deseados detectando la falsificación del correo electrónico utilizando registros del Sistema de nombres de dominio (DNS) y firmas digitales.

Si un usuario u organización cree que puede estar infectado, se recomienda ejecutar un análisis antivirus en el sistema y tomar medidas para aislar la estación de trabajo infectada según los resultados. Si varias estaciones de trabajo están infectadas, se recomiendan las siguientes acciones:

1. Identifique, apague y retire las máquinas infectadas de la red;

2. Considere la posibilidad de desconectar temporalmente la red para realizar la identificación, prevenir reinfecciones y detener la propagación del malware;

3. No inicie sesión en los sistemas infectados utilizando cuentas de administrador locales o de dominio compartidas;

4. Reimagen la (s) máquina (s) infectada (s);

5. Después de revisar los sistemas para los indicadores de Emotet, mueva los sistemas limpios a una red de área local virtual de contención que esté segregada de la red infectada;

6. La contraseña de emisión se reinicia tanto para el dominio como para las credenciales locales;

7. Debido a que Emotet elimina las credenciales adicionales, considere la posibilidad de restablecer la contraseña de otras aplicaciones que puedan tener credenciales almacenadas en la (s) máquina (s) comprometida (s);

8. Identificar la fuente de infección (paciente cero); y

9. Revise los archivos de registro y las reglas de buzón de Outlook asociadas con la cuenta de usuario infectada para asegurarse de que no se hayan producido más compromisos. Es posible que la cuenta de Outlook ahora tenga reglas para reenviar automáticamente todos los correos electrónicos a una dirección de correo electrónico externa, lo que podría resultar en una violación de datos.

Estrategia de Human Hacking

“Hoy el 90% de las inversiones y el gasto TI es en tecnología y el 10% en los usuarios. Esta estrategia no es la mas adecuada, ya que los hackers “ciberdelincuentes” siguen infiltrándose en las redes y sistemas a través del Human Hacking, provocando fraude, violaciones de datos y generando pérdidas millonarias. Está demostrado que la tecnología por si sola no es suficiente.

Buscamos crear conciencia y provocar un cambio disruptivo a través de una nueva visión que estamos promoviendo, que tiene por objetivo integrar los conceptos de Business Hacking & Human Hacking incorporando Security Solutions & Services, donde el usuario es clave en esta transformación llevándolo a un nivel de Human Firewall. Para lograr este objetivo nos basamos en Security Awareness Program”. Giovani Becerra, CEO, Inntesec

Comience las pruebas de los servicios de protección contra amenazas de Microsoft ATP Office 365 hoy mismo para experimentar los beneficios de la solución de protección contra amenazas más completa, integrada y segura para el lugar de trabajo moderno, comuníquese con ventas@inntesec.com.

Este tipo de amenaza solo se puede mitigar a través de Security Awareness.

A través de un programa las organizaciones deben invertir en un programa y con apoyo de una plataforma cloud podemos simular, capacitar y entrenar a los usuarios que son el eslabón mas débil de una organización, en temas de  concientización sobre seguridad y suplantación de identidad. Mediante campañas programadas podemos ejecutar diversos métodos de ataque tales como: phishing, spear phishing, usb, ransomware e social engineering, conoce nuestro programa escribiéndonos a ventas@inntesec.com.

Fuente: US Cert.gov, Inntesec