Quitar la botnet Emotet de los ciberdelincuentes y ponerla en manos de las fuerzas del orden
Las agencias de aplicación de la ley de todo el mundo arrebataron con (sitio en inglés) éxito el control de la botnet Emotet de sus operadores. También tomaron nuevas medidas sin precedentes para ayudar a las posibles víctimas de Emotet. Es de esperar que estos pasos pongan fin a la historia de uno de los grupos de ataque más adaptables y prolíficos que existen.
En una de las operaciones de eliminación globales más grandes y efectivas hasta la fecha, las agencias policiales de Canadá, Francia, Alemania, Lituania, los Países Bajos, Ucrania, el Reino Unido y los Estados Unidos, coordinadas por Europol y Eurojust, tomaron el control de los servidores de Emotet. Esto los puso en control de la botnet y también les dio los datos que el grupo Emotet ha recopilado sobre sus víctimas.
Para ayudar a aquellos que se han visto afectados por Emotet, las fuerzas del orden están utilizando al máximo su control recién adquirido de la infraestructura y los datos de Emotet.
En primer lugar, dice la policía holandesa (a través de Google Translate), “Se coloca una actualización de software en los servidores centrales holandeses para todos los sistemas informáticos infectados. Todos los sistemas informáticos infectados recuperarán automáticamente la actualización allí, después de lo cual la infección de Emotet se pondrá en cuarentena”. Es de esperar que esto elimine cualquier malware que el grupo Emotet tenga en las computadoras infectadas.
En segundo lugar, la policía holandesa tiene una página de registro donde se puede ingresar la dirección de correo electrónico y la policía holandesa notificará si ese correo electrónico está presente en los datos incautados. Esta información puede ayudarlo a saber si está o ha sido infectado por el grupo Emotet.
Ambos son pasos nuevos para ayudar a las víctimas de botnets y ayudar a que las personas se recuperen de la infección y sepan si son víctimas.
Un poco sobre la historia de Emotet
Emotet se ha convertido en una de las botnets más conocidas por su longevidad y adaptabilidad. Emotet comenzó como un troyano bancario en 2014 bajo el control de un grupo conocido como TA542, Mealybug y MUMMY SPIDER.
Con el tiempo, el grupo cambió el malware y las tácticas y también llegó a ser más conocido por el nombre de su primer malware: Emotet. Una de las cosas que ha hecho que el grupo Emotet sea tan notable es cómo profesionalizaron su negocio ilegal.
Para 2017, el grupo Emotet pasó de robar datos masivos a vender sus servicios a otros, un paso en la dirección de la profesionalización que recuerda la observación de Bill Gates sobre la fiebre del oro en Internet cuando dijo: “las personas que venden sartenes a los buscadores a menudo lo harán mejor que los propios buscadores ”.
En 2018, el grupo Emotet amplió significativamente su capacidad para enviar spam . En septiembre, estaban entregando más de medio millón de mensajes de spam en un solo día. Para octubre, duplicaron con creces esa capacidad para entregar más de un millón de mensajes de spam en un día.
El grupo Emotet también mostró su profesionalidad a través de su adaptabilidad. No solo cambiaron su modelo de negocio, sino que también cambiarían sus cargas útiles, métodos de entrega y, lo más importante, sus señuelos. Por ejemplo, en 2020, el grupo Emotet fue agresivo en su uso de señuelos Covid-19 para explotar los temores globales en torno a la pandemia.
Los eventos de hoy toman la botnet que creó el grupo Emotet y la ponen en manos de las fuerzas del orden. Como hemos visto, la policía ya está usando su control para ayudar a las víctimas. Esto probablemente signifique que la botnet Emotet tal como la conocemos ya no existe.
Sin embargo, una cosa que es notable en las acciones de hoy es qué información se trata de cargos o arrestos. Hasta ahora, no hay ninguna mención significativa de ninguno de los dos, lo que indica que la acción policial probablemente haya dado resultados hasta ahora solo en las herramientas de los atacantes , no en los atacantes mismos. Esto puede significar que el grupo Emotet podría intentar reagruparse y reconstruirse. Incluso sin su botnet a su disposición, es posible que tengan otras copias de sus datos, que podrían usar para intentar comenzar a construir una nueva botnet. Hemos visto un alto grado de adaptabilidad de este grupo, lo que hace que las posibilidades de que intentan reagruparse y reconstruirse sean mayores que con otros grupos eliminados en el pasado.
Por ahora, sin embargo, lo más importante que todos pueden hacer es ver si su información está en los datos de los grupos Emotet yendo al sitio web de la policía holandesa y utilizando productos de protección de seguridad (como las herramientas antivirus de Avast ) que pueden proteger contra Emotet y ayudar a protegerse contra cualquier intento de regreso del grupo Emotet.