Atento, porque es fácil perder el hilo: una red de bots que establecía una puerta trasera en los sistemas informáticos a través de correos electrónicos de phishing automatizados que distribuían documentos de Word infectados por malware. Eso era Emotet, el virus informático más difícil de combatir hasta hoy.
Por fin, después de unos siete años de circulación, las autoridades policiales y judiciales han interrumpido esta semana Emotet, una de las redes de bots más importantes de la última década. Los investigadores ahora han tomado el control de su infraestructura en una acción internacional coordinada.
Calificado por la Europol como “el malware más peligroso del mundo”, este virus ha sido uno de los ciberataques “más profesionales y duraderos que existen”.
Emotet fue descubierto por primera vez como un troyano bancario en 2014, pero después el malware evolucionó hasta convertirse en la solución de referencia para los ciberdelincuentes a lo largo de los años.
Como decíamos, la infraestructura de Emotet puede parecer compleja de explicar, pero no lo era tanto a la hora de ponerse en marcha: actuaba esencialmente como un ‘abridor de puertas principales’ para los sistemas informáticos a escala global. Una vez que establecía el acceso no autorizado, este se vendía a otros grupos delictivos de alto nivel “para implementar más actividades ilícitas, como el robo de datos y la extorsión a través de ransomware”.
“El grupo Emotet logró llevar el correo electrónico como vector de ciberataque al siguiente nivel”, dicen desde la Europol. “A través de un proceso totalmente automatizado, el malware Emotet se enviaba a los ordenadores de las víctimas a través de archivos adjuntos de correo electrónico infectados”, continúan.
La agencia policial de la Unión Europea explica que se utilizó una variedad de señuelos diferentes para “engañar a los usuarios desprevenidos” para que abrieran estos archivos adjuntos maliciosos. Los ataques de Emotet se han presentado como facturas o como avisos de envío e información sobre la crisis sanitaria, por ejemplo.
Todos estos correos electrónicos contenían documentos de Word maliciosos, ya sea adjuntos al correo electrónico en sí o descargables haciendo clic en un enlace dentro del correo electrónico. Una vez que un usuario abría uno de estos documentos, se le solicitaba que habilitase ‘macros’ para que el código malicioso oculto en el archivo de Word pudiese ejecutarse e instalar el malware Emotet en el ordenador de la víctima.
Sin embargo, el verdadero problema de este ciberataque y lo que lo hizo tan peligroso es que el malware se ofreció en alquiler a otros ciberdelincuentes para instalar otros tipos de virus, como troyanos bancarios o ransomwares.
“Su forma única de infectar redes al propagar la amenaza lateralmente después de obtener acceso a solo unos pocos dispositivos en la red lo convirtió en uno de los programas maliciosos más resistentes en la naturaleza”, afirma la Europol.
La operación para interrumpir la estructura de Emotet ha sido un derribe desde dentro, resultado de un esfuerzo de colaboración entre autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania, con una actividad internacional coordinada por Europol y Eurojust.
Como se puede ver en la imagen, solo en 2020 se produjeron 5,9 millones de ataques de Emotet en 920.000 usuarios de Avast. Adolf Streda, analista de malware de la compañía, valora que "el desmantelamiento de Emotet supone un hito muy relevante en la lucha contra la ciberdelincuencia".
Emotet ha sido "como una navaja suiza, por sus múltiples habilidades para robar contraseñas, sustraer dinero de cuentas bancarias y agregar los dispositivos de las victimas a las redes de bots, para lanzar así más campañas de phishing", sigue diciendo el experto.
Este malware ha utilizado "potentes métodos de ocultación para evitar ser neutralizado por los antivirus" y ver su desarticulación por parte de las autoridades competentes "es una noticia muy positiva para el mundo de la ciberseguridad", comenta Streda, sobre todo teniendo en cuenta "su amplio alcance" y la gran cantidad de "familias de malware reconocidas atribuidas a su infraestructura".
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios