El malware más peligroso triplica su actividad en un mes
La botnet Emotet, que, según Europol es el malware más peligroso del mundo, mostró un crecimiento mundial de más del 200 por ciento en marzo de 2022.
Así lo indica la telemetría de Kaspersky. Este crecimiento indica que los actores de amenazas detrás de la botnet han tomado medidas para aumentar significativamente su actividad maliciosa por primera vez desde su regreso en noviembre de 2021. Estos hallazgos son parte de la última investigación de Kaspersky que analiza los módulos de Emotet y la actividad reciente.
Emotet es a la vez una botnet, una red controlada de dispositivos infectados que se utiliza para ataques a otros dispositivos, y malware que es capaz de extraer diferentes tipos de datos, a menudo relacionados con las finanzas, de los dispositivos infectados. Operado por actores de amenazas experimentados, se ha convertido en uno de los jugadores más importantes en el mundo del cibercrimen. Emotet se cerró tras el esfuerzo conjunto de varios organismos legislativos de diferentes países en enero de 2021. Sin embargo, en noviembre de 2021, la red de bots regresó y ha ido aumentando gradualmente su actividad desde entonces. En primer lugar, difundiéndose a través de Trickbot, una red de bots diferente, y ahora por sí mismo a través de campañas de spam maliciosas.
La telemetría de Kaspersky muestra que la cantidad de víctimas se disparó de 2.843 en febrero de 2022 a 9.086 en marzo, multiplicando por más de tres la cantidad de usuarios atacados. La cantidad de ataques detectados por las soluciones de Kaspersky ha crecido en consecuencia: de 16.897 en febrero de 2022 a 48.597 en marzo.
Una infección típica de Emotet se inicia con correos electrónicos no deseados que contienen archivos adjuntos de Microsoft Office con una macro maliciosa. Con esta macro, el actor puede iniciar un comando malicioso de PowerShell para soltar e iniciar un cargador de módulos, que luego puede comunicarse con un servidor de comando y control para descargar e iniciar módulos. Estos módulos pueden realizar una variedad de tareas diferentes en el dispositivo infectado. Los analistas de Kaspersky pudieron recuperar y analizar 10 de los 16 módulos, y Emotet ya había usado la mayoría en el pasado de una forma u otra.
La versión actual de Emotet puede crear campañas de spam automatizadas que se propagan aún más por la red desde los dispositivos infectados, extrayendo correos electrónicos y direcciones de email de las aplicaciones Thunderbird y Outlook y recopilando contraseñas de navegadores web populares, como Internet Explorer, Mozilla Firefox, Google Chrome, Safari y Opera, para recopilar los datos de la cuenta de los clientes de correo electrónico.
“Emotet era una red muy avanzada que perseguía a muchas organizaciones de todo el mundo. Su desmantelamiento fue un paso importante para disminuir las amenazas en todo el mundo al ayudar a desmontar su red y eliminarla de la lista de principales amenazas durante más de un año. Si bien la cantidad de ataques no es comparable con la escala anterior de las operaciones de Emotet, el cambio en la dinámica apunta a una activación significativa de los operadores de la botnet y una alta probabilidad de que esta amenaza se extienda aún más en los próximos meses”, comenta Alexey Shulmin, analista de seguridad de Kaspersky.