El 27 de enero de 2021 Europol anunció que, una acción judicial y policial coordinada a nivel mundial, ha desarticulado la red de bots Emotet. Los investigadores han tomado el control de la infraestructura del malware. Si tiene éxito, esto podrÃa significar el fin de Emotet: su botnet, malspam (malware + spam) y operación de carga de malware. Aunque la situación aún está en desarrollo, podemos confirmar que la infraestructura de la botnet Emotet está interrumpida. Las vÃctimas serán notificadas por los CERTs de los paÃses responsables y deberán tomar las medidas oportunas para limpiar su malware, Emotet. Además de las infecciones secundarias, para evitar que siga activo el malware que fue descargado por Emotet y desplegar el ransomware.
Antecedentes
Emotet (también conocido como Heodo) se observó por primera vez en 2014. Se trataba de un troyano bancario que robaba datos bancarios y credenciales de inicio de sesión de las vÃctimas. Pero pasó a ser una operación de malware como servicio (MaaS) que proporciona servicios de distribución de malware a otros ciberdelincuentes. En la actualidad, Emotet es probablemente la operación de distribución de malware más prolÃfica. Para ello, roba los correos electrónicos y responde a las conversaciones anteriores de la vÃctima. Esto se conoce como secuestro del hilo de conversación del correo electrónico5 . Hornetsecurity ha escrito numerosas entradas de blog sobre Emotet2,3,4,5.
¿Qué ha pasado?
La cooperación internacional de las fuerzas de seguridad y judiciales de todo el mundo, coordinado por Europol y Eurojust, ha desmantelado la red de bots Emotet. En esta operación han participado las siguientes autoridades:
Holanda: PolicÃa nacional (Politie), National Public Prosecution Office (Landelijk Parket)
Alemania: PolicÃa federal (Bundeskriminalamt), FiscalÃa General Frankfurt/Main (Generalstaatsanwaltschaft)
Francia: PolicÃa nacional (Police Nationale), Tribunal Judicial de ParÃs (Tribunal Judiciaire de Paris)
Lituania: Oficina de la PolicÃa Criminal de Lituania (Lietuvos kriminalin?s policijos biuras), FiscalÃa General de Lituania
Canadá: Royal Canadian Mounted Police
Estados Unidos: Federal Bureau of Investigation, U.S. Department of Justice, US Attorneyâs Office for the Middle District of North Carolina
Gran Bretaña: National Crime Agency, Crown Prosecution Service
Ucrania: PolicÃa nacional de Ucrania (??????????? ??????? ???????), de la FiscalÃa General (???? ???????????? ?????????).
Los investigadores obtuvieron el control de la infraestructura de un sospechoso ubicado en Ucrania. La comunicación C2 de Emotet ha sido desenmascarada y la información de las vÃctimas conectadas ha sido entregada a los CERTs responsables del paÃs, que notificarán a las vÃctimas para que puedan limpiar la infección.
La PolicÃa Nacional holandesa también ha obtenido una base de datos con direcciones de correo electrónico, nombres de usuario y contraseñas robadas por Emotet a lo largo de los años. Ofrecen un sitio web para comprobar si una dirección de correo electrónico ha sido comprometida en http://www.politie.nl/emocheck.
Emotet «uninstaller»
Además, la policÃa criminal federal de Alemania (Bundeskriminalamt (BKA)) está distribuyendo un programa para eliminar la botnet Emotet que desinstalará el malware el 25-03-2021 a las 12:00.
El programa creará una marca de tiempo para el 5-03-2021 a las 12:00.
Fuente: Hornet Security