Emotet Botnet fuera de línea luego de un esfuerzo policial global
La enorme botnet Emotet se ha desconectado luego de un esfuerzo policial internacional que involucra a varios países. Emotet ha sido uno de los distribuidores de malware y spam más prolíficos del mundo durante los últimos años, y su eliminación es un golpe significativo para los distribuidores de malware, ransomware y spam en todo el mundo.
La botnet Emotet ha caído
El 27 de enero de 2021, Europol envió un tweet anunciando que la botnet Emotet no funcionaba.
Adiós a las redes de bots Una enorme operación global acaba con el malware más peligroso del mundo.
Los investigadores han tomado el control de la botnet Emotet, el malware más resistente del mundo.
Obtenga la historia completa: https://t.co/NMrBqmhMIf pic.twitter.com/K28A6ixxuM
– Europol (@Europol) 27 de enero de 2021
La culminación de un esfuerzo policial masivo en todo el mundo que involucró a autoridades en los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania vio a los investigadores tomar el control de la botnet.
Los investigadores y los investigadores de seguridad tomaron el control de la infraestructura de mando y control de Emotet en más de 90 países repartidos por todo el mundo, con al menos dos arrestos físicos en Ucrania. Las autoridades ucranianas también publicaron un video que muestra a los oficiales incautando hardware de computadora, efectivo y filas de barras de oro.
La declaración oficial de Europol dice:
La infraestructura de EMOTET actuó esencialmente como un abridor de puertas principal para los sistemas informáticos a escala global. Una vez que se estableció este acceso no autorizado, estos se vendieron a otros grupos delictivos de alto nivel para implementar más actividades ilícitas, como el robo de datos y la extorsión a través de ransomware.
Derribar Emotet implicó la interrupción de cientos de servidores, muchos de los cuales tienen diferentes capacidades. En el caso de una botnet masiva como Emotet, la única forma de interrumpir y destruir la red es derribar tanto como sea posible simultáneamente, así como realizar arrestos físicos a quienes dirigen la empresa criminal.
Muchas botnets como EMOTET son de naturaleza polimórfica. Esto significa que el malware cambia su código cada vez que se llama. Dado que muchos programas antivirus escanean la computadora en busca de códigos de malware conocidos, un cambio de código puede causar dificultades para su detección, permitiendo que la infección no sea detectada inicialmente.
¿La botnet Emotet se ha ido para siempre?
Durante los derribos anteriores de botnets, los esfuerzos coordinados han dado un golpe significativo, pero no han matado a la bestia.
Por ejemplo, cuando las autoridades y los investigadores de seguridad eliminaron la botnet Trickbot, los propietarios de la botnet pudieron reconstruirla. No solo eso, sino que pudieron aprender de las fallas que hicieron que la botnet fuera vulnerable al primer derribo, fortaleciendo la segunda versión.
En el caso de Emotet, las autoridades confían en que se ha aprovechado suficiente infraestructura de comando y control para que recrear la botnet sea muy difícil, aunque no imposible.
También hay otra amenaza. Aunque Emotet está fuera de línea, las amenazas propagadas a través de la red permanecen activas.
Es importante que las organizaciones realicen la limpieza lo antes posible. Si bien Emotet en sí no puede funcionar, otras amenazas que ha cargado previamente, como TrickBot y QakBot, permanecen activas. Estas infecciones a menudo conducen a ransomware como Ryuk y Egregor.
– MalwareTech (@MalwareTechBlog) 27 de enero de 2021
El investigador de seguridad Marcus Hutchins aconseja a las organizaciones e individuos que "realicen la limpieza lo antes posible", ya que la amenaza de otros tipos de malware, como los ransomwares Ryuk y Egregor, permanece activa.
Con la eliminación de Emotet, Europol y sus socios han eliminado una importante amenaza de seguridad global fuera de línea.