Emotet regresa con una nueva campaña basada en correos robados a usuarios

Recomendados:  2021, ¿el año de la ciberdefensa? Webinar Trabajo seguro desde cualquier lugar: adaptándonos a la "nueva normalidad" Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer

Proofpoint ha informado de una nueva vuelta a la actividad de Emotet, el prolífico troyano bancario y conocido ladrón de contraseñas, con una campaña de de más de 100.000 mensajes en castellano, inglés, alemán, italiano y chino dirigidos a distintos sectores, como fabricación, TI y energía.

Esta vez marca un cambio en su forma de actuar ya que, según explica la firma de seguridad, ha retomado sus ataques a solo unos días de la celebración de la Navidad, unas fechas en las que “habitualmente cesa sus operaciones”, y esta es la razón por lo que la campaña podría ser “increíblemente corta e inusual para ellos”, a juicio de Sherrod DeGrippo, directora senior del equipo de Investigación y Detección de la compañía.

Desde el punto de vista del volumen de actividad, normalmente se detectan cientos de miles de muestras de Emotet al día durante las campañas, y las cifras registradas en su reaparición en la última semana apuntan en esa dirección. Los análisis iniciales de Proofpoint sobre esta nueva campaña han revelado que el código de la amenaza apenas presenta pequeños cambios, pero la compañía sigue investigando hasta qué punto se ha actualizado. “Los cambios de código son comunes tras un parón significativo en la actividad, y suelen indicar que el grupo de autores detrás de la amenaza permanece activo durante los parones para mejorar su infraestructura”, explica en un comunicado.

En lo que respecta a los ganchos utilizados en esta campaña, el especialista ha confirmado que se basan en el secuestro de conversaciones, es decir, cada email está compuesto por un correo real robado. En este sentido, explica que, aunque históricamente Emotet ha contado con un módulo de robo de correos de otras víctimas, es difícil decir que es ahí donde se han originado, ya que el equipo de Proofpoint ha constatado que los correos robados han sido utilizados por diferentes autores a lo largo del tiempo.

Finalmente, desde un punto de vista de mitigación de la campaña, Proofpoint recomienda a las organizaciones utilizar un gateway de correo seguro, que incorpore un software antimalware efectivo, para asegurar que este tipo de amenazas no llega a los buzones de entrada de sus usuarios. Adicionalmente, es crucial poner en marcha un fuerte programa de educación en ciberseguridad que refuerce el conocimiento sobre los riesgos que entrañan los enlaces y los archivos adjuntos en este tipo de mensajes.