Europol anuncia el desmantelamiento de la botnet Emotet tras una operación global

Emotet, la botnet que más ha dado de qué hablar durante los últimos años, habría sufrido un duro golpe que incluso podría llegar a suponer su desmantelamiento completo, según informó ayer Europol en un comunicado. Gracias a una operación coordinada conjunta con las autoridades de Alemania, Países Bajos, Estados Unidos, Francia, Reino Unido, Lituania, Canadá y Ucrania se habría conseguido obtener el control de su infraestructura, lo que evitaría que los delincuentes siguiesen obteniendo nuevas víctimas.

Una longeva y extendida amenaza

La botnet Emotet fue descubierta por primera vez en 2014, y en aquel entonces estaba especializada en instalar malware para robar credenciales bancarias. Sin embargo, los delincuentes detrás de esta amenaza fueron adaptando y cambiando su modelo de negocio hasta convertirse en uno de los principales distribuidores de otras amenazas.

Las sucesivas campañas de propagación de amenazas se realizaban en varios países, desde Japón hasta Estados Unidos, pasando por varios países europeos entre los que se encuentra España. En estas campañas, Emotet actuaba como puerta de entrada para otras amenazas, y vendían este acceso a los sistemas y redes que conseguían comprometer a otras organizaciones criminales para que realizasen sus acciones delictivas.

En los últimos años Emotet se ha caracterizado por ser usada para propagar malware especializado en el robo y el cifrado de información. Los delincuentes utilizan correos electrónicos con ficheros ofimáticos Word adjuntos que contienen macros maliciosas responsables de iniciar la cadena de infección, contactando con los servidores controlados por los delincuentes para descargar las amenazas preparadas para esa campaña y realizando movimientos laterales para acceder a aquellos sistemas más críticos.

Este alquiler de la infraestructura y sus capacidades es lo que ha convertido a Emotet en una amenaza tan peligrosa, y los responsables de otros códigos maliciosos como el ransomware Ryuk o el malware especializado en el robo de información Trickbot han utilizado dicha infraestructura en numerosas campañas, consiguiendo cuantiosas víctimas en varias partes del mundo.

Desmantelando la botnet

Realizar una operación de estas características no resulta sencillo y ha requerido  la  colaboración y sincronización entre fuerzas policiales de varios países para que fuese efectiva. Debemos tener en cuenta que una botnet como Emotet dispone de centenares de servidores distribuidos por todo el mundo, cada uno de ellos con una funcionalidad diferente. Algunos de estos servidores se encargan de gestionar los equipos que ya se encuentran infectados, mientras que otros son responsables de propagar nuevas variantes o de proporcionar apoyo a otros grupos delictivos.

Para que un desmantelamiento de estas características fuese efectivo se requiere que tanto las fuerzas policiales como las judiciales se pongan de acuerdo en una estrategia de actuación común. En esta ocasión, la operación ha terminado con la toma de control de la infraestructura de Emotet, lo que permite redirigir a las víctimas de esta botnet a los sistemas controlados por las fuerzas policiales y alertarles así de que se encuentran infectadas, para que tomen las medidas adecuadas.

Entre las medidas recomendadas para evitar ser víctima de estas amenazas se incluyen las de concienciación para evitar abrir documentos adjuntos no solicitados y que podrían ser usados como principal vector de ataque, así como también contar con soluciones de seguridad capaces de detectar y bloquear estas amenazas.

Conclusión

Este tipo de operaciones suponen un respiro para las miles de víctimas que botnets tan grandes como Emotet tienen repartidas por todo el mundo. Sin embargo, no debemos confiarnos, ya que los delincuentes suelen tener medidas para intentar recomponerse tras un golpe como este. Además, siempre que cae una botnet de esta magnitud, otras suelen aparecer para tomar su lugar, por lo que no debemos bajar la guardia y seguir adoptando las medidas de seguridad necesarias.

Josep Albors

Aviso de pago: correo suplanta a Caixabank para robar información