Cuidado con el resurgimiento de la botnet Emotet

Foto de Philipp Katzenberger en Unsplash

Resumen del editor: Justo cuando pensamos que la botnet Emotet era una era pasada, parece recuperarse. Esta es una advertencia justa para los profesionales de la ciberseguridad de que los malos siempre están intentando una y otra vez, sin descanso, causar estragos en nuestras redes y sistemas. El comunicado de prensa del proveedor se encuentra a continuación.

El malware más buscado de julio de 2020: Emotet ataca de nuevo después de cinco meses de ausencia

Check Point Research encuentra un fuerte aumento en la botnet Emotet que difunde campañas de spam después de un período de inactividad, con el objetivo de robar credenciales bancarias y propagarse dentro de las redes específicas.

SINGAPUR, @mcgallen #microwireinfo, 11 de agosto de 2020 - Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice Global de Amenazas para julio de 2020. Los investigadores encontraron que después de una ausencia de cinco meses, Emotet ha vuelto a subir al primer lugar en el Índice, con un impacto del 1%. de organizaciones a nivel mundial.

Desde febrero de 2020, las actividades de Emotet, principalmente el envío de oleadas de campañas de malspam, comenzaron a desacelerarse y finalmente se detuvieron, hasta que resurgieron en julio. Este patrón se observó en 2019 cuando la botnet Emotet dejó de funcionar durante los meses de verano, pero se reanudó en septiembre.

En julio, Emotet estaba difundiendo campañas de malspam, infectando a sus víctimas con TrickBot y Qbot, que se utilizan para robar credenciales bancarias y propagarse dentro de las redes. Algunas de las campañas de malspam contenían archivos de documentos maliciosos con nombres como "form.doc" o "invoice.doc". Según los investigadores, el documento malicioso lanza un PowerShell para extraer el binario Emotet de sitios web remotos e infectar máquinas, agregándolas a la botnet. La reanudación de las actividades de Emotet destaca la escala y el poder de la botnet a nivel mundial.

“Es interesante que Emotet estuvo inactivo durante varios meses a principios de este año, repitiendo un patrón que observamos por primera vez en 2019. Podemos suponer que los desarrolladores detrás de la botnet estaban actualizando sus características y capacidades. Pero como está activo nuevamente, las organizaciones deben educar a los empleados sobre cómo identificar los tipos de malspam que conllevan estas amenazas y advertir sobre los riesgos de abrir archivos adjuntos de correo electrónico o hacer clic en enlaces de fuentes externas. Las empresas también deben considerar la implementación de soluciones anti-malware que puedan evitar que dicho contenido llegue a los usuarios finales ”, dijo Maya Horowitz, Directora de Inteligencia e Investigación de Amenazas, Productos de Check Point.

El equipo de investigación también advierte que "MVPower DVR Remote Code Execution" es la vulnerabilidad explotada más común, que afecta al 44% de las organizaciones a nivel mundial, seguida de "OpenSSL TLS DTLS Heartbeat Information Disclosure" que afecta al 42% de las organizaciones en todo el mundo. “Command Injection Over HTTP Payload” ocupa el tercer lugar, con un impacto global del 38%.

Principales familias de malware

* Las flechas se refieren al cambio de rango en comparación con el mes anterior.

Este mes, Emotet es el malware más popular con un impacto global del 5% de las organizaciones, seguido de cerca por Dridex y Agent Tesla que afectan al 4% de las organizaciones cada uno.

  1. ↑ Emote - Emotet es un troyano avanzado, autopropagable y modular. Emotet era originalmente un troyano bancario, pero recientemente se utiliza como distribuidor de otro malware o campañas maliciosas. Utiliza múltiples métodos para mantener las técnicas de persistencia y evasión para evitar la detección. Además, se puede propagar a través de correos electrónicos no deseados de phishing que contienen adjuntos o enlaces maliciosos.
  2. ↑ Dridex - Dridex es un troyano que apunta a la plataforma Windows y, según se informa, se descarga a través de un archivo adjunto de correo electrónico no deseado. Dridex contacta a un servidor remoto y envía información sobre el sistema infectado. También puede descargar y ejecutar módulos arbitrarios recibidos del servidor remoto.
  3. ↓ Agente Tesla - El agente Tesla es un RAT avanzado que funciona como un registrador de teclas y un ladrón de información capaz de monitorear y recopilar la entrada del teclado de la víctima, el portapapeles del sistema, tomar capturas de pantalla y extraer credenciales pertenecientes a una variedad de software instalado en la máquina de la víctima (incluido Google Chrome, Cliente de correo electrónico Mozilla Firefox y Microsoft Outlook).

Principales vulnerabilidades explotadas

Este mes, "MVPower DVR Remote Code Execution" es la vulnerabilidad explotada más común, que afecta al 44% de las organizaciones a nivel mundial, seguida de "OpenSSL TLS DTLS Heartbeat Information Disclosure" que afecta al 42% de las organizaciones en todo el mundo. “Command Injection Over HTTP Payload” ocupa el tercer lugar, con un impacto global del 38%.

  1. ↑ Ejecución de código remoto MVPower DVR - Una vulnerabilidad de ejecución remota de código que existe en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.
  2. ↓ Divulgación de información de latidos del corazón de OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Una vulnerabilidad de divulgación de información que existe en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes de latido TLS / DTLS. Un atacante puede aprovechar esta vulnerabilidad para revelar el contenido de la memoria de un cliente o servidor conectado.
  3. ↑ Inyección de comandos sobre carga útil HTTP - Se ha informado de una vulnerabilidad de carga útil de inyección de comando sobre HTTP. Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina de destino.

Principales familias de malware para dispositivos móviles

Este mes, xHelper es el malware más popular, seguido de Necro y PreAMo.

  1. xHelper - Una aplicación maliciosa vista en estado salvaje desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y mostrar anuncios. La aplicación puede ocultarse del usuario y reinstalarse en caso de que se desinstale.
  2. necro - Necro es un Trojan Dropper de Android. Puede descargar otro malware, mostrar anuncios intrusivos y robar dinero cobrando suscripciones pagas.
  3. PreAMo - PreAmo es un malware de Android que imita al usuario haciendo clic en los banners recuperados de tres agencias de publicidad: Presage, Admob y Mopub.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 2.5 millones de sitios web y 500 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 principales familias de malware de julio se puede encontrar en el Blog de Check Point.

Los recursos de prevención de amenazas de Check Point están disponibles en http://www.checkpoint.com/threat-prevention-resources/index.html

Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre amenazas cibernéticas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura de malware, ransomware y amenazas avanzadas dirigidas líder en la industria. Check Point ofrece una arquitectura de seguridad multinivel, "Infinity Total Protection con prevención de amenazas avanzada Gen V", esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###