Han aumentado sustancialmente los ataques a entidades de gobiernos de los Estados Unidos con la herramienta Emotet, según informa la a Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) en una alerta publicada hoy.
Emotet , es un troyano bancario común que se detectó por primera vez en 2014, y en los últimos años se ha convertido en una botnet que el grupo de amenazas TA542 (también rastreado como Mummy Spider) utiliza para entregar cargas útiles de malware de segunda etapa en dispositivos infectados.
El malware se utiliza para eliminar otras familias de malware, incluido el Trickbot (un vector conocido utilizado para implementar el ransomware Ryuk y Conti) y los troyanos QakBot.
Entidades del gobierno de EE. UU. Objetivo de Emotet en agosto
La alerta de hoy se basa en la información recopilada tanto por CISA como por el Centro de análisis e intercambio de información multiestatal (MS-ISAC) desde el resurgimiento de Emotet en julio de 2020.
Durante este tiempo, "CISA observó que Emotet se ejecutaba en fases durante posibles campañas dirigidas", explica la agencia DHS .
Desde agosto, las dos organizaciones "han visto un aumento significativo de ciberatactores malintencionados dirigidos a los gobiernos estatales y locales con correos electrónicos de phishing de Emotet".
"Este aumento ha convertido a Emotet en una de las amenazas actuales más frecuentes", añade CISA.
Desde que volvió a estar en línea, Emotet ha ocupado el primer lugar en la lista de las 10 principales cepas de malware cargadas y analizadas en la plataforma interactiva de análisis de malware Any.Run .
De hecho, Emotet eclipsa al siguiente malware en la parte superior (el troyano de acceso remoto Njrat), con casi diez veces el número de muestras enviadas para su análisis en la plataforma.
16.000 alertas de actividad de Emotet desde julio
A partir de julio de 2020, CISA ha observado un aumento de la actividad de Emotet, con el "Sistema de detección de intrusos EINSTEIN, que protege las redes del poder ejecutivo civil federal" detectando alrededor de 16.000 alertas relacionadas.
"Desde que resurgió el 17 de julio, Emotet ha mantenido sus actividades con envíos de spam diarios que arrojan más de 500.000 correos electrónicos todos los días (excepto los fines de semana) a partir de las 2:00 am hora del Pacífico (UTC -7)", dijo Microsoft en ese momento.
Después de que se revivió, Emotet comenzó a implementar el troyano TrickBot en dispositivos Windows infectados, reemplazando luego por completo las cargas útiles de TrickBot cuando comenzó a propagar el malware QakBot .
Para proteger las redes y los dispositivos contra los ataques de Emotet, CISA y MS-ISAC recomiendan a los administradores y usuarios tener cuidado al abrir archivos adjuntos sospechosos, usar software antivirus y bloquear direcciones IP sospechosas.
Si desea actualizaciones y más información sobre las campañas activas de Emotet, debe seguir al grupo Cryptolaemus en Twitter, un colectivo de investigadores de seguridad que monitorean la actividad diaria del malware.
⚠️ @CISAgov has seen a significant increase in #Emotet phishing emails since July. Read our joint Alert with MS-ISAC for more information. https://t.co/xR0O6sPpun#Phishing #Cybersecurity #Malware #Infosec pic.twitter.com/Si8xPdrLGq
— US-CERT (@USCERT_gov) October 6, 2020
