Qué es y cómo protegernos de Emotet y sus secuaces.
No es nada nuevo, Emotet existe desde 2014, pero ha evolucionado de Troyano bancario a nave nodriza de otros malwares como Trickbot, Ryuk, etc. Antes de entender cómo hacer una prevención básica de éstos malwares intentemos saber cómo funcionan.
¿ Qué son Emotet, Trickbot y Ryuk ?
Si ya tienes claro su funcionamiento puedes saltar directamente a la sección de consejos y cómo protegerse de éstos malwares.
Por simplificar y como viene siendo habitual actualmente la infección comienza con la entrada de un correo electrónico, bien redactado, con el idioma esperado y con un origen conocido. Sí, los mensajes ya no son fácilmente detectables descartándolos por su incorrecta redacción o idioma origen. Adjunto al correo un archivo ofimático o un enlace al mismo para descargarlo de Internet.
Al abrir dicho archivo, en caso de que el usuario tenga activo el uso de macros, o lo active al solicitarlo la suite ofimática se ejecuta el código que se encargará de lanzar un proceso PowerShell que descargará de Internet Emotet a la carpeta del usuario.
Este malware buscará ser persistente y poder volver a ejecutarse en caso de reinicio del ordenador, para ello utiliza diferentes técnicas en función del contexto de seguridad del usuario. En caso de usuario administrador creará un servicio de Windows, en caso de usuario sin privilegios en su clave Run en el registro de Windows. A partir de aquí ja puede dedicarse a hacer sus maldades.
De manera primaria Emotet puede robar las credenciales que tengamos almacenadas en el navegador y en nuestros clientes de correo, propagarse por protocolo SMB y obtener de la memoria las credenciales, robar contactos de la libreta de Outlook o enviar SPAM desde el propio equipo.
No se queda sólo ahí, sino que como hemos dicho hace de lanzadera de otros malwares. Controlados desde un Command and Control externo puede desplegar diferentes códigos en función de los intereses de los ciberdelincuentes, por ejemplo Trickbot.
Una vez descargado Trickbot no depende para nada de Emotet, tiene sus propios mecanismos de propagación y persistencia, así como de despliegue de otros códigos como por ejemplo:
- Empleando el exploit EternalBlue. Propagación por SMB y aumento de privilegios
- Extracción de credenciales de acceso remoto RDP
- Obtención de información interesante.
Y como no hay dos sin tres, las últimas campañas de estos dos elementos (Emotet y Trickbot) han sido creadas con el objetivo principal de cifrar toda aquella información que bajo el contexto del usuario y sus posibles movimientos laterales y elevación de privilegios haya podido encontrar, gracias al ransomware Ryuk.
Dicho ésto y teniendo una ligera idea de cómo funciona el despliegue de estos programas, vamos a ver por dónde empezar a protegernos.
¿Cómo protegernos de ellos ?
La primera línea de defensa será evidentemente intentar protegernos de la entrada y/o ejecución de éstos correos electrónicos.
Partamos de la base de que nuestra empresa dispone de una solución Antivirus/AntiSpam de correo electrónico.
- El correo debería entrar siempre a través de nuestra pasarela o solución antivirus/antispam/sandbox. El criterio y orden a seguir en los siguientes filtros dependerá de ésta.
- Detección tradicional de antivirus, poner en cuarentena los correos sospechosos de estar infectados, detectando patrones o firmas conocidas.
- Bloquear los enlaces sospechosos conocidos, utilizando repositorios como el de URLhaus u otros propios. (Cuidado con los falsos positivos).
- Interceptar y poner en cuarentena los correos electrónicos con documentos adjuntos que requieran el uso de macros.
- Intentar contener los correos sospechosos en un entorno controlado, Sandbox, si nuestra empresa dispone de él. Cualquier apertura o ejecución debería hacerse primero en éste entorno antes de enviarse al usuario.
- Superadas estas barreras el usuario debería recibir el correo electrónico informando en caso de sospecha o detección de malware o directamente el original en su bandeja de entrada, tras lo cual la última línea sería el antivirus de punto de trabajo (endpoint). Personalmente en éste último caso me gusta confiar en un endpoint de distinto fabricante al que proporciona la seguridad perimetral, por si a uno se le escapa una detección confiar en que otro la detectará.. Pero para gustos, los colores
La segunda línea de defensa será la fortificación (hardening) de los sistemas operativos, ofimáticos, etc. Pero, por dónde empezar ?
- Para prevenir estos ataques deberemos controlar la ejecución del código no deseado (macros) en el centro de confianza de Microsoft Word. En un entorno empresarial y para facilitarnos la vida emplearemos políticas de grupo (GPO). A través de ellas podremos hacer excepciones que permitan la ejecución de macros en zonas de confianza (siempre que sea estrictamente necesario).
- Evidentemente seguir la recomendación de siempre, parchear los sistemas. No insistiremos en éste aspecto por lo obvio del mensaje. Ante todo instalar las actualizaciones que protejan de ataques como EternalBlue o BlueKeep.
- Evitar la ejecución de PowerShell o cmd.exe siempre que sea posible. Suena muy drástico pero es necesario.
- Segmentar la red. Tampoco abundaremos en ello pero está claro que la contención de un posible incidente empieza por tener una red bien segmentada y monitorizada.
Podéis encontrar mucha información relativa a éstos programas dañinos, no nos queremos extender más y una imagen vale más que mil palabras, desde el CCN-CERT lo explican de ésta manera tan gráfica.
Por cierto, el contenido de éste mensaje está extraído en parte del documento que a tal efecto ha elaborado el mismo organismo CCN CERT y que podéis descargar en :
En resumen, la prevención y monitorización nos ayudarán a poner difícil la entrada a éstos visitantes indeseados. Cualquier ayuda que os podamos prestar desde RedHacking ya sabéis dónde encontrarnos. Podemos ayudaros a detectar cuán vulnerables sóis o a protegeros de ellos.
Saludos.