La Botnet Emotet está muriendo

Ya han pasado unos meses desde la caída de Emotet (verificar tu IP) que supuso el final para una de las mayores redes de bots que se han conocido en la historia. Una red nacida en 2014 y que ya desde sus inicios dio señales de tratarse de un duro rival para las soluciones de seguridad de la época. Su polimorfismo, sumado a la constante evolución que experimentó durante sus años de vida, provocaron que fuera acertadamente definida como la botnet más peligrosa de la década pasada.

Todo terminó con una operación internacional en la que, de la mano de Europol y Eurojust, participaron las autoridades de Alemania, Canadá, Estados Unidos, Francia, Lituania, Países Bajos, Reino Unido y Ucrania. Y era imprescindible una gran coordinación, puesto que el objetivo de esta operación fueron los servidores de comando y control de Emotet, es decir, los sistemas a los que se conectaban todos los bots para recibir sus tareas, obtener cargas útiles, etcétera.

Dicho de otra manera, con la operación de febrero los equipos afectados por el malware de Emotet siguieron teniendo el malware, pero los servidores con los que eran controlados dejaron de estar operativos, por lo que en la práctica ningún sistema afectado ha vuelto a ver su seguridad comprometida o a participar en acciones ilícitas (sin el conocimiento de su propietario) siguiendo las órdenes recibidas desde los servidores abatidos en febrero.

No obstante, aunque el riesgo tras la caída de los servidores de Emotet era mínimo, los bots seguían estando infectados por el malware, y esto en sí mismo ya es algo poco recomendable. Pero es que, además, hay que tener en cuenta que la operación policial acabó con la infraestructura de servidores de Emotet, pero no con sus operadores, el grupo TA542 ((aka Mummy Spider)). No parecía probable, pero tampoco se podía descartar que encontraran la manera de replicar su red de servidores para recobrar el control sobre todos los sistemas afectados.

La agencia de policía federal alemana Bundeskriminalamt (BKA) dio por conclusa la fase de desinfección de los sistemas afectados. En días anteriores, los sistemas afectados por el malware de Emotet recibieron, desde la red de servidores de mando y control, un archivo denominado EmotetLoader.dll y que elimina los servicios asociados en Windows y modifica automáticamente las claves del registro, acabando así con la persistencia. Adicionalmente se puede descargar una regla de YARA.

Así, de manera silenciosa, ayer 25 de abril, todos los sistemas infectados firmaron, de manera silenciosa, su despedida de la botnet que tantos años llevaba operando. Si es cierto que algunos investigadores afirman que no se ha eliminado el 100% de los componentes del malware, pero aún así sí que se han eliminado sus elementos de persistencia, así como su posibilidad de conectarse a la red a la espera de órdenes. Por lo tanto, ahora ya sí que podemos decirlo, Emotet ha comenzado a morir, una maravillosa noticia.

Correos filtrados

La botnet Emotet contaba con cientos de servidores repartidos por todo el mundo cuando fue desarticulado. Emotet ha recopilado una gran cantidad de correos electrónicos. Ahora el FBI ha compartido cuatro millones de e-mails (4.324.770) con Have I Been Pwned. Simplemente hay que buscar en la base de datos y solicitar esa información que ya se ha compartido. 

Fuente: Muy Seguridad

Suscríbete a nuestro Boletín