Emotet: el malware que acecha desde tu bandeja de correo

• El correo electrónico es el principal vector de ataque de Emotet, por lo que conviene protegerlo de forma adecuada.
• España es uno de los países más afectados por Emotet, por lo que tanto empresas como usuarios deben permanecer atentos ante esta amenaza.
• El ataque de Emotet viene acompañado de otro tipo de malware, entre el que se encuentra Trickbot, encargado de robar información confidencial, y el ransomware Ryuk.

Lamentablemente, hablar de campañas de malware se ha convertido en algo bastante habitual en las empresas, no solo en los departamentos dedicados a la seguridad informática, sino que ya ha trascendido a todos los niveles ya que se trata de un tema que afecta tanto a usuario empresariales como privados.

Un ejemplo de ello es el malware Emotet, que tras un periodo de letargo durante las vacaciones navideñas vuelve a la carga con más intensidad que nunca y con España como uno de sus principales objetivos.

Emotet se ha convertido por méritos propios en una de las amenazas más peligrosas que existen actualmente por su capacidad de adaptación y por servir de puerta de entrada a otras amenazas que pueden ocasionar graves daños económicos y reputacionales a las empresas españolas.

Emotet, el malware que infecta con solo abrir un documento

El principal vector de ataque de Emotet es el correo electrónico, utilizando la ingeniería social para engañar al usuario para que descargue un documento aparentemente inofensivo, pero que esconde una auténtica bomba de relojería para su seguridad.

El malware Emotet utiliza una plantilla de texto en la que se dan pocos detalles sobre el contenido de un archivo de Word adjunto que supuestamente contiene una factura, contrato, informe o cualquier otro documento habitual en el día a día de las empresas.

Al abrir el documento, Word detectará que contiene una serie de macros y activará el sistema de protección de macros de la aplicación y preguntará al usuario si desea activar su ejecución para ver el contenido del documento. En caso de que el usuario acepte, es en este punto donde, en segundo plano, se ejecuta un script que descargará el malware que automáticamente infectará el equipo.

Si creías que las malas noticias llegaban hasta aquí, nada más lejos de la realidad. Emotet viene acompañado de todo un abanico de software malicioso que se descargará en los equipos infectados e iniciará la propagación por toda la red.

Leer más: Las copias de seguridad son la clave para mejorar la resiliencia de las empresas

La primera oleada viene de la mano de una variante del malware Trickbot, encargado de robar información confidencial de la empresa para, a continuación, pasarle el relevo a una variante del ransomware Ryuk, que cifrará los archivos del sistema si nada se lo impide, pidiendo el habitual rescate por liberar los datos.

Las últimas investigaciones de ESET han detectado casos en los que los ciberdelincuentes han amenazado con publicar y difundir la información confidencial sustraída por el malware Trickbot, lo cual podría conllevar una grave sanción por la normativa del GDPR, así como dejar expuestos secretos industriales si no ceden al chantaje.

Un riesgo real para las empresas españolas

Cuando se habla de una escalada de ataques de un malware se tiende a pensar que estos ataques se producen en otros países. Pero desde el último trimestre se observa que el malware Emotet tiene a España como uno de sus objetivos principales.

Tal y como señalan desde el laboratorio de ESET, el mayor fabricante de software de seguridad europeo, España se revela como uno de los países con mayor índice de detecciones de Emotet.

Desde ESET destacan que, por poner un ejemplo, el pasado día 14 de enero la tasa de detección de esta amenaza se fijaba en un 19,85% del total de amenazas reportadas ese día. Esto sitúa a nuestro país por delante de Italia (10,53%), y muy lejos de otros países como Alemania (1,14%), Estados Unidos (0,63%) o Japón (1,89%).

Esta evidente amenaza para empresas y particulares hace necesario tomar conciencia del riesgo para empresas y particulares adoptando las medidas preventivas adecuadas para evitar caer en la trampa del malware Emotet.

Para ello no solo es necesario contar con unas soluciones de seguridad preparadas para afrontar la seguridad de las empresas, sino que también se hace necesaria la concienciación de los usuarios de los endpoints ya que la principal arma de este malware es la ingeniería social incitando a los usuarios a descargar el documento que desencadena la infección o acceder a un enlace desde el que descargarlo.

Alertar al conjunto de la plantilla sobre el riesgo que supone una amenaza como Emotet ya supondrá una primera línea de defensa contra este malware que puede llegar a ser muy dañino para las empresas.

Cambia su mensaje para adaptarse a su objetivo

A pesar de que Emotet utiliza un vector de ataque que podría llegar a considerarse “muy trillado” como es el envío masivo de correos, una de las claves para la efectividad de Emotet es su capacidad para adaptarse a sus distintos objetivos utilizando distintas plantillas en su correo para ganarse la confianza de sus víctimas.

El truco más habitual es hacerse pasar por un cliente o distribuidor haciendo creer a la víctima que va a descargarse una factura o similar. Sin embargo, la sofisticación de Emotet puede insertar correos en una conversación ya existente, utilizando una cuenta de correo comprometida para aportar mayor credibilidad al mensaje. De ese modo, la victima baja la guardia ya que se trata de un interlocutor de confianza.

España es un objetivo clave para Emotet hasta el punto de utilizar plantillas en catalán para una mayor credibilidad a su correo. Este comportamiento es inédito en este tipo de ataques que habitualmente buscan maximizar su capacidad de difusión utilizando lenguas ampliamente usadas en todo el mundo como el español o el inglés.

Esto demuestra, una vez más, el interés de los ciberdelincuentes en acotar sus ataques al territorio nacional para el cual se están usando incluso lenguas cooficiales con el ánimo de coger desprevenidos a los usuarios.