En el panorama del malware actual podemos observar como varias amenazas se unen para conseguir un mayor impacto a la hora de alcanzar un mayor número de objetivos, o tratar de maximizar el impacto de sus campañas de infección. Entre estas amenazas, Emotet es uno de los representantes más destacados desde hace tiempo con periodos de mayor y menor intensidad, como vamos a ver a continuación.
La actividad estacional de Emotet
Una de las peculiaridades de la botnet Emotet y que mantiene en vilo a muchos investigadores es la intensificación de sus periodos de actividad. Al tratarse de una amenaza ya conocida desde hace años, esta monitorización de su actividad es constante y podemos ver claramente como tiene descensos y periodos de mayor actividad que otros.
Si repasamos las campañas más recientes podemos ver que, tras la reactivación de la botnet a mediados de julio, tras varios meses de poca actividad desde febrero, sus campañas de propagación se han ido produciendo de forma periódica durante los últimos meses, terminando la última de ellas a finales de octubre / principios de noviembre.
Actualmente nos encontramos en un periodo de “descanso”, aunque no sería nada extraño que los delincuentes estuviesen preparando el retorno de Emotet coincidiendo con la celebración del Black Friday, el Cyber Monday o ya pensando en la próxima campaña navideña, tal y como sucedió durante el pasado 2019.
Descenso de Trickbot y aumento de Qbot
Como ya hemos indicado, Emotet es utilizado por muchos grupos de delincuentes para propagar sus amenazas, entre las que encontramos, por poner algunos ejemplos, las relacionadas con el robo de información y el ransomware. En el campo del robo de información, dos de las amenazas más destacadas son Trickbot y Qbot, las cuales están llevando caminos diferentes si nos atenemos a la información proporcionada por la telemetría de ESET.
Si bien Trickbot consiguió mantener una actividad destacable durante los primeros meses de 2020 durante el periodo de “hibernación” de Emotet, la operación para tratar de desmantelar esta botnet realizada por Microsoft, ESET y otras empresas a principios de octubre ha afectado a su propagación. Esto no significa que Trickbot vaya a desaparecer a corto plazo, pues de hecho se sigue observando nuevas versiones de esta amenaza, pero sí que ha supuesto un golpe temporal a su actividad.
En el otro lado tenemos a Qbot, otro malware especializado en el robo de información que ha aumentado su actividad justo en el momento en el que Trickbot comenzaba su declive. Además, en la gráfica podemos observar como Qbot tiene ligada parte de su actividad con la de Emotet, aunque es capaz de propagarse cuando esta botnet no se encuentra especialmente activa.
Situación en España
Los usuarios españoles no son ajenos a la actividad de la botnet Emotet y las amenazas que se propagan con ella. De hecho, hemos visto numerosas campañas dirigidas específicamente a usuarios de nuestro país. Aunque lo normal es encontrarnos con variantes en inglés de los mensajes y documentos adjuntos utilizados como vector de ataque, también se ha observado mensajes en español que se aprovechan de fechas señaladas o cualquier otro motivo que pudiera llamar la atención de los usuarios que reciban estos mensajes.
Entre los asuntos utilizados como gancho para conseguir nuevas víctimas hemos visto desde subidas del salario mínimo hasta la suplantación de entidades bancarias, pasando por mensajes genéricos con supuesta información. Sin embargo, uno de los asuntos más utilizados ha sido el envío de supuestas facturas o transferencias, e incluso hemos visto como se enviaban en otros idiomas cooficiales de España como el catalán.
En el gráfico anterior podemos observar como en varias de las campañas recientes de Emotet, España se encuentra en el TOP 10 de países más afectados por esta amenaza. Además, también se observa que alguna de las plantillas usadas en los documentos maliciosos utilizados por Emotet para ejecutar macros maliciosas incrustadas en ellos y empezar así la cadena de infección se prueban primero en otras regiones antes de usarse en países como España, por lo que conviene estar atentos a la actividad de esta botnet en ciertos países y estar preparado para lo que pueda venir.
Conclusión
Tal y como acabamos de ver, varias amenazas con relación entre sí están teniendo un comportamiento diferente, algunas disminuyendo su actividad mientras otras lo aumentan y otras permanecen latentes preparando su próxima campaña. Por ese motivo es necesario estar preparado, manteniéndose informado de la evolución de estas amenazas y contando con una solución de seguridad que sea capaz de detectarlas y bloquearlas.