Noticias
Las autoridades francesas alertan: Emotet vuelve con fuerza
Si hace solo unos días hablábamos de la eterna juventud de Qbot, hoy es el momento de hablar de su primo-hermano Emotet, sin duda no tan veterano, pero que también va acumulando ya cierta veteranía y que, a la vista de los hechos, no parece que tenga intención alguna de jubilarse, ya sea de manera voluntaria o forzosamente. Y menos aún, precisamente, si tenemos en cuenta la relación entre ambos malwares, y como sus operadores los combinan en casos como éste.
Y es que la agencia nacional francesa de ciberseguridad ha emitido un aviso sobre un aumento en ataques en los que se está empleando Emotet, dirigidos tanto al sector privado como a entidades públicas. “Durante varios días, ANSSI ha observado que el malware Emotet apunta a empresas y administraciones francesas”, indica la alerta emitida por la ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), «Se debe prestar especial atención porque Emotet ahora se usa para implementar otros códigos maliciosos que pueden tener un fuerte impacto en la actividad de las víctimas«.
¿Y por qué mencionaba antes a Qbot, y añado TrickBot? Pues porque en los ataques detectados por las autoridades francesas, Emotet ha sido empleado para entregar diversas variantes de ambos, como Conti, de la familia de TrickBot y ProLock, familia de Qbot. Esta campaña sería una prueba más, en la línea de las sospechas cada vez más claras, de que ambas familias de malware tienen como origen al mismo grupo de ciberdelincuentes gestionando las campañas, el grupo de origen ruso TA542.
Aunque inactivo desde principios de año, durante el mes de julio se descubrió que Cosmic Lynx compartía infraestructura con Emotet, y el pasado mes de agosto protagonizó una nueva campaña, apoyada en phishing relacionado con el coronavirus, un denominador común de gran parte de las acciones maliciosas que se están llevando a cabo este complicado 2020.
El ANSSI ha emitido, junto con el aviso, una lista de recomendaciones de seguridad. Por supuesto, en el primer punto, se encuentra el no habilitar las macros de los archivos recibidos por correo electrónico a no ser que sea imprescindible, provengan de un origen de confianza y éste nos haya indicado explícitamente que se trata de un documento seguro. Y por supuesto, si se supone que se trata de un documento de texto sin más, ¿qué sentido tiene que sea necesario habilitar macros para verlo? Desconfianza siempre.
En caso de detectar un sistema comprometido, es esencial desconectarlo de la red lo más rápido posible, pues es muy probable que esté actuando dentro de la infraestructura para infectar más sistemas. Lo más recomendable es no eliminar datos, puesto que con el malware aislado, esa muestra del mismo puede ser empleada para identificar qué ataque estamos sufriendo y, así, tomar las medidas específicas.
Es cierto que los antivirus eliminan buena parte del malware, pero hay muestras que se escapan de su detección, y lo mismo ocurre con ajustes en la configuración del sistema que se pueden haber llevado a cabo durante el ataque, y que no siempre son detectados por las soluciones de seguridad. Solo la reinstalación completa, desde cero, garantiza la eliminación tanto del malware como de todo aquello que pueda haber hecho en el sistema comprometido.