Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Se evidencia nueva actividad de la Botnet de Emotet.

  • Publicado: 26/08/2019
  • Importancia: Media

Recursos afectados

Emotet es un troyano polimórfico (cambia su código automáticamente cada cierto tiempo), dificultando a las soluciones antivirus su detección. Sus primeras apariciones fueron identificadas en Europa en 2014, a día de hoy continua su actividad infectando sistemas, por lo general con archivos que están adjuntos a los correos que hacen llegar a sus víctimas.

La infraestructura de Emotet está siendo utilizada para distribuir otro tipo de malware, lo que se ha denominado "triple amenaza": dos troyanos bancarios, uno de ellos Trickbot, más el ransomware Ryuk. 

La infraestructura de servidores de C&C usada para realizar la campaña se establece sobre servidores rastreados en países distribuidos por varios continentes como EE.UU., México y Argentina en América; Hungría, Francia, Alemania, Australia, Bélgica y Polonia por parte de Europa; también India y Australia. 

Emotet está diseñado para asegurar su persistencia en el sistema y activarse nuevamente al reiniciar, cerrar sesión o apagar un equipo, lo que hace más complicada la tarea de limpiar un equipo infectado. 

Con base a la reciente actividad detectada se prevé que en fechas próximas se ejecuten nuevas campañas de Emotet en el mismo modelo de negocio.

Este es un breve resumen realizado por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected].

Etiquetas