A fondo

Emotet: auge y caída de la botnet de la década

Publicado

en

La caída de Emotet no es una buena noticia, no. Este calificativo se queda muy pequeño para definir la importancia de la desaparición de una de las botnets más relevantes y peligrosas de la década. Una red zombi que desde 2014 ha tenido en jaque a autoridades, expertos en ciberseguridad y, por supuesto, a los millones de usuarios que han sufrido algún ataque en el que se haya empleado la enorme infraestructura creada a lo largo de los años por los operadores de la misma.

Parte de esa odisea ha concluido, gracias a una operación internacional coordinada por Europol y Eurojust en la que han participado Alemania, Canadá, Estados Unidos, Francia, Lituania, Países Bajos, Reino Unido y Ucrania. Una operación dirigida contra una parte crítica de la infraestructura de Emotet, y que por lo tanto, al menos de momento, no se ha visto asociada a detenciones de los responsables de Emotet, si bien cabe esperar que se produzca alguna novedad al respecto próximamente.

Han pasado varios días desde la caída de Emotet, y aunque muchos de los detalles de la operación no han sido revelados por Europol y la entidades que han participado, sí que hay algunos aspectos del comunicado oficial, así como informaciones relacionadas, que hacen que resulte bastante interesante aprovechar este momento para dedicar unos minutos a diseccionar el pasado y el presente de Emotet, así como para estar preparados para lo que pueda venir a continuación.

Breve historia de Emotet

Nacida en 2014, o al menos avistada por primera vez dicho año, en sus orígenes Emotet se empleó en primera instancia como troyano bancario. En sus primeros tiempos, al tiempo que iba ampliando la red de sistemas comprometidos, actuaba como sniffer en los ordenadores infectados para obtener información de medios de pago. Dado que desde el primer momento tecnológicamente era una amenaza compleja, sus responsables no tardaron demasiado tiempo en empezar a rentabilizar la inversión llevada a cabo para ponerlo en funcionamiento.

Un elemento importante de Emotet, y que ha contribuido de manera significativa a su difusión es que hablamos de un patógeno polimórfico, lo que reduce sustancialmente la efectividad de los sistemas clásicos de detección de malware. Además, a esto debemos sumar que sus responsables, con los años, no han dejado de evolucionar su muy rentable creación. Dichas mejoras se han traducido tanto en mejoras en su funcionamiento, como en dotarlo de nuevas funciones, como módulos de específicos para obtener contraseñas, para difundirse en redes locales o de difusión a través de correo electrónico.

Desde las primeras campañas en las que se empleó Emotet, cuando se dedicaba exclusivamente al robo de datos bancarios, su modus operandi ha consistido en capturar todo el tráfico de red del sistema infectado, con el fin de analizarlo posteriormente en búsqueda de información sensible. De este modo, y en combinación con los módulos adicionales y que son descargados desde algún servidor de la botnet una vez que el sistema ha sido infectado, los operadores de Emotet lograron obtener decenas de miles de datos bancarios. Pero eso era solo el principio.

Una de las características de Emotet es su capacidad de persistencia. Diseñado para eludir la detección (incluso modifica su comportamiento si detecta que se está ejecutando en una máquina virtual, del mismo modo que lo hace Ragnar Locker), Emotet, a lo largo de los años, ha ido creciendo en gran medida como botnet, mostrando así su enorme potencial como plataforma para llevar a cabo campañas de todo tipo. Y es que gracias a su capacidad de descargar nuevas cargas útiles desde sus servidores de comando y control, los sistemas de la red podían ser empleados para prácticamente cualquier fin.

Así, el siguiente paso para Emotet estaba claro: sus operadores empezaron a ofertar los servicios de su red a otros grupos de ciberdelincuentes, que durante años han podido desarrollar sus propias campañas a través de la red zombi de Emotet, momento a partir del cual ese malware empezó a ser identificado también en campañas de phishing y de ransomware. Desde entonces, y hasta su caída, en la mayoría de ocasiones las campañas llevadas a cabo a través de Emotet han sido obra de terceros.

Fruto de esta modalidad de infraestructura de malware como servicio (recordemos que el modo como servicio no ha hecho más que ganar tracción estos últimos tiempos), los números de Emotet han sido singularmente altos de un tiempo a esta parte, al punto de que múltiples organismos han llegado a considerar que se trata del malware más peligroso de los últimos años, algo que explica los esfuerzos llevados a cabo por Europol para desmantelarla.

¿Y ahora qué?

Nada apuntaba a la caída de Emotet hasta esta operación. Al contrario, tanto el malware como la red gozaban de muy buena salud, y sus operadores seguían trabajando en su actualización y mantenimiento. No en vano, Europol la califica como uno de los servicios de ciberdelincuencia más profesionales y duraderos. Esta acción policial se ha traducido, por lo tanto, en un duro golpe a una red que todavía tenía mucho futuro por delante.

El golpe asestado a Emotet parece, en principio, mortal. Las investigaciones previas al desmantelamiento de la red dieron como resultado un conocimiento bastante amplio de su funcionamiento. Tal y como cabía esperar, contaba con múltiples servidores de comando y control, pero lo que se averiguó es que la organización de los mismos era muy avanzada, con diversos grupos atendiendo cada uno a una función determinada.

Así pues, la operación se dirigió contra dichos servidores y, por lo tanto, impidiendo que los operadores de la red puedan tener acceso a todos los sistemas infectados con el patógeno. Ahora bien, lo más interesante de esta operación es que, a diferencia de otras ocasiones, en las que simplemente se ha desmantelado la red, en esta ocasión se ha empleado la infraestructura existente, la de Emotet, para enviar a todos los sistemas infectados una actualización destinada a incapacitar el malware.

De este modo, incluso aunque los operadores pusieran en marcha una nueva infraestructura de servidores de comando y control, lo tendrían muy difícil para recuperar el control de dichos sistemas. Dicho de otra manera, tendrían que volver a empezar desde cero. Y esto nos hace preguntarnos si habrá una nueva Emotet en el futuro, que dependa de los mismos responsables que la recientemente desmantelada.

Para responder a esta pregunta hay que tener en cuenta dos factores. El primero es, claro, si las pesquisas policiales de esta operación han concluido con el desmantelamiento de la red o, por el contrario, aún podemos esperar que se produzca alguna detención. Es obvio que los cibercriminales habrán adoptado todo tipo de medidas para enmascarar sus identidades y dificultar el rastreo de sus actividades, pero aún así cabe la posibilidad de que se haya podido obtener algún hilo del que tirar, y que termine por llevar a los investigadores a alguna detención.

El otro aspecto clave es la codicia. Todos los analistas coinciden en que, en los años de actividad de Emotet, sus operadores han obtenido tantos beneficios como para poder vivir de manera muy desahogada durante el resto de sus vidas. Operar una red de este tipo plantea un alto riesgo, y con los años hemos podido comprobar cómo ciberdelincuentes que se consideraban intocables han terminado procesados y encerrados. Reconozco que soy pesimista y pienso que podrá más la codicia que la sensatez, y que por lo tanto ya estarán pensando en sus próximos pasos.

Sea como fuere, la caída de Emotet es una excelente noticia. y gracias a la inteligencia obtenida se han puesto en funcionamiento herramientas como haveibeenEMOTET, que permiten comprobar si nuestra cuenta o nuestro dominio de correo electrónico ha sido empleado para difundir el patógeno. No todos los días cae una de las principales redes zombi, y menos aún una ofertada a otros ciberdelincuentes para que puedan llevar a cabo sus campañas.

Lo más leído

Salir de la versión móvil