La botnet que se niega a morir regresa nuevamente y está equipada con nuevas cargas útiles y tácticas para evadir la detección. Cientos de miles de ataques de Emotet se detectan a diario tras un parón de cuatro meses.
Los ciberdelincuentes que ejecutan la operación de botnet Emotet ya se encuentran entre los actores de amenazas de mayor volumen en el panorama actual de seguridad cibernética después de reiniciar después de un descanso de cuatro meses.
Las detecciones de las cargas útiles de Emotet se redujeron en julio de 2022. Sin embargo, resurgieron a principios de noviembre, según la empresa de seguridad cibernética Proofpoint. La botnet ahora actúa como un facilitador principal para la entrega de las principales cepas de malware.
Cientos de miles de ataques de Emotet se detectan a diario tras un parón de cuatro meses
Emotet había vuelto a la actividad anteriormente en noviembre de 2021. Esto es menos de un año después de que una operación policial cerrara su infraestructura original que atacaba a las empresas con malware durante años.
La compañía dijo que ha estado bloqueando cientos de miles de correos electrónicos relacionados con Emotet todos los días. Lo han colocado entre las campañas de amenazas de correo electrónico más voluminosas actualmente en funcionamiento.
Siguiendo sus patrones históricos, Emotet demostró una evolución continua en la forma en que opera. Esto incluye un cambio en los señuelos, el binario del malware y otro malware eliminado a través de campañas exitosas.
El equipo de la Unidad 42 de Palo Alto Networks descubrió a principios de mes que en una sola infección de Emotet, las cepas de malware IcedID y Bumblebee se colocaron en la máquina de la víctima.
Proofpoint dijo que la cepa IcedID que actualmente se propaga a través de Emotet es una versión más reciente. Está equipada con diferentes comandos y un nuevo cargador. Esto podría indicar un cambio en la propiedad o una nueva relación entre los delincuentes que ejecutan IcedID y los que están detrás de Emotet.
Algunas de las capacidades de IcedID incluyen la recuperación de información del escritorio, También la ejecución de procesos y la información del sistema. También puede leer y filtrar archivos a través de la infraestructura de comando y control (C2).
El malware Bumblebee a menudo actúa como un cargador de malware o ransomware. Se descubrió a principios de este año y se cree que está relacionado con las operaciones que ejecutan TrickBot y BazarLoader.
Totalmente adaptable
También se cree que estas dos familias de malware están afiliadas a la organización de ransomware Conti, ahora cerrada.
Proofpoint continuó diciendo que espera que Emotet continúe creciendo, demostrando más intentos de ataque contra objetivos en más lugares del mundo.
Emotet es conocido por ser una de las operaciones delictivas cibernéticas más impactantes de los últimos años. Llevó meses de un esfuerzo coordinado entre varias agencias policiales internacionales para derribarlo por primera vez.
Es conocido por adaptar continuamente sus técnicas de infección para explotar las últimas vulnerabilidades y evadir la detección.
Emotet fue una de las primeras operaciones en evolucionar después de que Microsoft bloqueara las macros de VBA en los documentos de Office al pasar al uso de las URL de OneDrive.
El bloqueo de macros de VBA por parte de Microsoft fue muy bien recibido en la industria de la seguridad cibernética en ese momento. Se introdujo como una forma de reducir la cantidad de campañas de correo electrónico malicioso exitosas que distribuyen malware.