El domingo, el infame software de botnet Emotet comenzó a desinstalarse de aproximadamente 1 millón de computadoras.
de acuerdo a Seguridad Semanalla orden de desinstalación fue parte de una actualización enviada por los servidores policiales holandeses a las computadoras infectadas después de que la infraestructura de Emotet se viera comprometida en enero en una operación multinacional lanzada por ocho países.
La actualización de envenenamiento borra las entradas del registro de Windows, permite que los módulos de la botnet se ejecuten automáticamente y detiene y elimina los servicios relacionados.
«La policía se hizo cargo de toda la infraestructura de la red de Emotet en enero pasado, lo que eliminó la amenaza que representa Emotet», explicó Jean-Ian Boutin, jefe de investigación de amenazas. Essetuna empresa de seguridad de tecnología de la información con sede en Bratislava, República Eslovaca.
“Nuestro monitoreo continuo de Emotet indica que la operación fue todo un éxito”, dijo a TechNewsWorld.
«El domingo, se iniciaron los procedimientos de limpieza en los sistemas comprometidos conectados a la infraestructura controlada por las fuerzas del orden», continuó. «Esta actualización elimina el mecanismo de persistencia de Emotet, evitando efectivamente que la amenaza se extienda a cualquier servidor de comando y control en el futuro».
Según el Departamento de Justicia de EE. UU., desde el 1 de abril de 2020 hasta el 17 de enero de 2021, Emotet infectó 1,6 millones de computadoras en todo el mundo y le costó a las víctimas millones de dólares en todo el mundo.
En los Estados Unidos, la Agencia de Infraestructura y Seguridad Cibernética de EE. UU. estima que las infecciones de Emotet cuestan a los gobiernos locales, estatales, tribales y territoriales hasta $ 1 millón por incidente para remediar.
Tabla de Contenidos
Las máquinas siguen en peligro
Aunque Emotet ha sido neutralizado, las máquinas que infecta aún están en riesgo.
«Emotet en sí mismo no es conocido por una gran cantidad de comportamiento malicioso, especialmente en su última iteración», dijo Chet Wisniewski, científico investigador principal de la firma de administración de amenazas y seguridad cibernética Sophos, con sede en el Reino Unido.
«Es conocido por traer otro malware, y probablemente lo hizo antes de que la policía adquiriera la infraestructura de comando y control», dijo a TechNewsWorld. «Su eliminación no tiene ningún efecto sobre otro malware que pueda haber traído consigo».
Boutin señaló que en los últimos dos años, Emotet ha distribuido activamente al menos seis familias de malware diferentes: Ursnif, Trickbot, Qbot, Nymaim, Iceid y Gootkit.
“Una vez instalada, la familia de malware opera independientemente de Emotet”, dijo. «Por lo tanto, ambos deben erradicarse para que el sistema esté libre de malware».
«La brecha entre el desmantelamiento de la infraestructura de la red y la limpieza del domingo está permitiendo a las organizaciones afectadas encontrar estas diferentes familias de malware y tomar las medidas necesarias para limpiar sus redes», explicó.
El desmantelamiento de Emotet puede verse como el primer paso hacia la restauración de estas máquinas, pero está lejos de ser el único paso», agregó Christopher Fielder, director de marketing de productos. Lobo árticofabricante del software SIEM en la nube.
«Estas máquinas aún deben considerarse comprometidas y evaluarse mediante un plan de respuesta a incidentes efectivo», dijo a TechNewsWorld.
Dirk Schrader, vicepresidente global, señaló que no está claro si se informará a los propietarios de las máquinas infectadas sobre la posibilidad de una mayor infección. nueva tecnología de redun proveedor de software de cumplimiento y seguridad de TI con sede en Naples, FL.
«Ciertamente ayudaría a alertar a los propietarios del sistema que se requiere más análisis forense», dijo.
principales logros
Wisniewski insiste en que eliminar a Emotet del panorama de amenazas es un logro notable. «Esta es una de las amenazas de correo electrónico más peligrosas y prolíficas del mundo», dijo.
“Creo que el desmantelamiento inicial y la adquisición de la infraestructura de comando ha sido fantástico y queremos ver más”, agregó.
«Sin embargo, esta última acción no parece ser tan útil y es más un movimiento de relaciones públicas que cualquier otra cosa para mantener la seguridad del público», señaló Wisniewski.
«La exclusión de la lista es muy importante», agregó Vinay Pidathala, director de investigación de seguridad. seguridad monroeuna firma de ciberseguridad en Mountain View, California.
Señaló que entre la base global de clientes de Menlo Security, Emotet fue su principal protector de malware contra ataques en 2020.
«Emotet también causa muchas infecciones de ransomware, por lo que es bueno para Internet cerrar una plataforma de distribución de malware tan común», agregó.
Hitesh Sheth, presidente y director ejecutivo de Emotet, dijo que tan tranquilizador como el colapso de Emotet fue el asombroso daño que causó a innumerables redes durante siete años. inteligencia artificial weidaun proveedor de soluciones automatizadas de gestión de amenazas con sede en San José, California.
“Debemos aspirar a una mayor cooperación internacional en ciberseguridad, así como a mejores tiempos de respuesta”, dijo a TechNewsWorld.
“Ninguno de nosotros sabe cuántos de los primos de malware de Emotet están causando más daño, pero si se tarda siete años en eliminar cada uno, seguiremos estando en una crisis prolongada”, dijo.
Una de las razones por las que tomó tanto tiempo desmantelar Emotet fue la complejidad de su infraestructura de red.
«A través de nuestro seguimiento a largo plazo de la botnet, descubrimos cientos de servidores de comando y control, organizados en varios niveles y distribuidos por todo el mundo», explicó Boutin. «Para tener éxito, la operación debe apagar todos estos servidores C&C al mismo tiempo, lo cual es una tarea muy difícil».
Problemas privados
Los expertos en seguridad generalmente han elogiado a las fuerzas del orden público por eliminar a Emotet, aunque algunos han expresado su preocupación por la acción.
«Creo que la eliminación es fundamental, y la aplicación de la ley es importante para poder acelerar y dedicar la cantidad correcta de recursos para hacer algo a escala. Estas acciones son encomiables», observó Pidathala.
Boutin señaló que el derribo no se limitó al cierre de la infraestructura de la botnet, sino a más arrestos de personas sospechosas de estar involucradas en Emotet.
«Ejecutar un desinstalador en un sistema infectado es la guinda del pastel», dijo. “Esperemos que esta acción sirva como referencia para hacer más fáciles y eficientes las futuras operaciones de demolición”.
Sin embargo, el analista de inteligencia de amenazas cibernéticas Austin Merritt sombra digitalel proveedor de soluciones de protección de riesgos digitales con sede en San Francisco, señaló que la eliminación podría generar algunos problemas de privacidad.
«Las personas a las que apunta Emotet pueden estar preocupadas de que involucrar al FBI les permita ingresar indiscriminadamente a la computadora de la víctima y ver qué hay dentro», dijo a TechNewsWorld. «Como resultado, las fuerzas del orden pueden obtener información no pública de ellos».
Si bien la eliminación automatizada de malware parece una buena manera de abordar estas infecciones, especialmente en implementaciones grandes como Emotet, existen algunos problemas éticos con este enfoque, agrega Erich Kron, defensor de la conciencia de seguridad. SaberBe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, FL.
«Parte del problema es que las fuerzas del orden están eliminando activamente archivos de dispositivos privados», dijo a TechNewsWorld. «Incluso con las mejores intenciones, esto tiene el potencial de convertirse en un problema».
Explicó que los errores de codificación podrían provocar la interrupción y la pérdida de ingresos o servicios en futuras campañas automatizadas de eliminación de malware.
«Además», continuó Kron, «es posible que las organizaciones afectadas no hayan sido notificadas. Esto podría convertirse en un problema si el proceso de eliminación automática ocurriera al mismo tiempo que los administradores de dispositivos realizaban la recopilación de datos forenses o eliminaban el malware ellos mismos. Sin coordinación, esto podría volverse un problema podría convertirse en un tema importante para la organización».
«Esta tendencia, si bien es beneficiosa a corto plazo, debe analizarse más a fondo dentro de la industria de la seguridad cibernética, centrándose en cómo administrar el espectro completo de acciones de cumplimiento, como la notificación de modificaciones de dispositivos, la supervisión regulatoria y las posibles opciones de exclusión». dijo.