Disrumpen la botnet Emotet en operación global

Con más de un millón de sistemas comprometidos en todo el mundo, Europol anunció la discrupción de la botnet Emotet en lo que fue una de las operaciones más importantes que se han realizado contra el cibercrimen.

Europol ha anunciado la interrupción de la botnet Emotet, una de los malware más prevalentes en los últimos años, tras una operación a gran escala que también involucró a varias agencias responsables del cumplimiento de la ley en Europa y América del Norte.

Autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania se han para llevar adelante una operación que implicó obtener el control de la infraestructura de la botnet y derribarla “desde adentro”, según el Agencia de aplicación de la ley de la Unión Europea (UE).

“Las máquinas de las víctimas infectadas han sido redirigidas hacia esta infraestructura controlada por las fuerzas de seguridad. Se trata de un enfoque nuevo y único para interrumpir de forma eficaz las actividades de este facilitador del cibercrimen”, fue como lo expresó Europol. La agencia coordinó el esfuerzo junto con Eurojust, la agencia judicial de la Unión Europea.

En total, unos 700 servidores de comando y control (C&C) fueron desconectados, según la Agencia Nacional del Crimen del Reino Unido. Los operadores de Emotet utilizaron los servidores para reclutar a la fuerza las computadoras comprometidas, lanzar nuevas campañas maliciosas y mejorar la resistencia de su infraestructura, entre otras cosas.

Dos de los tres servidores principales de la botnet estaban ubicados en los Países Bajos, dijo la policía holandesa, que apodó la interrupción como “Operación LadyBird”. Se detectaron más de un millón de sistemas comprometidos en todo el mundo, y ahora Emotet se eliminará mediante la descarga automática de una actualización de software de los servidores operados por las autoridades de los países bajos.

La investigación también descubrió una base de datos de 600.000 direcciones de correo electrónico, nombres de usuario y contraseñas robadas por los operadores de la botnet, y la policía holandesa lanzó una página en la que las personas pueden verificar si su computadora también pudo haber sido víctima de la botnet.

Mientras tanto, la policía en Ucrania publicó un video en el que muestra un allanamiento en el hogar de un individuo sospechoso de ser un operador de Emotet. Según Reuters, las autoridades ucranianas aseguran que los daños provocados por Emotet alcanzan la cifra de 2.5oo millones de dólares.

Emotet, una botnet bien preparada

Visto por primera vez en 2014 como un troyano bancario, Emotet pronto se estableció como un actor destacado en la economía del ciberdelito como servicio, evolucionando hasta convertirse en un malware que era utilizado para distribuir distintos tipos de amenazas y causando un daño incalculable a las víctimas. Gracias a su modularidad, la botnet generalmente se alquilaba a otros delincuentes que buscaban implantar en las máquinas de las víctimas payloads adicionales, incluidos ransomware y troyanos bancarios. A lo largo de los años, estas amenazas fueron variando e incluyeron a Trickbot, una botnet que se interrumpió en octubre del año pasado.
Emotet generalmente llega bajo la forma de un correo electrónico de apariencia inofensiva, pero que en realidad contiene un archivo adjunto o enlace malicioso. En estos correos utilizan distintos tipos de señuelos convincentes con el objetivo de engañar a las víctimas para que abran o enlace que oculta el malware. Después de obtener el acceso inicial en una red, también tiene la habilidad propia de un gusano informático que le permite propagarse a otras computadoras dentro de la red de una organización.

 

Comments are closed.