CCN-CERT AL 02/20 Repunte de la campaña de EMOTET

  ALERTA  
     
 

Repunte de la campaña de EMOTET

Fecha de publicación: 20/01/2020
Nivel de peligrosidad: Muy alto

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, alerta a su Comunidad de que se está detectando un repunte importante de la campaña de ataques del código dañino EMOTET, en sus distintas variantes.

La campaña, que comenzó en septiembre de 2019 y tuvo una gran virulencia en todo el mundo, utiliza diferentes métodos para conseguir infectar equipos que utilizan Sistemas Operativos de Microsoft Windows. Emotet posee módulos propios para realizar diversas acciones y despliega, además, diferentes códigos dañinos como, por ejemplo Trickbot.

Sistemas afectados

Cualquier versión de Microsoft Windows.

Medidas de prevención

Atendiendo al comportamiento de este tipo de código dañino, debe tomarse especial atención en todas aquellas medidas que puedan mejorar la seguridad y que podrían prevenir su actuación, en todos los niveles a los que pueda producirse.

Para ello, recomendamos la lectura del Informe CCN-CERT IA 76/19 Medidas de actuación frente al código dañino EMOTET donde se aborda qué hacer en relación al correo electrónico, los documentos ofimáticos de Word, el Sistema Operativo y la Arquitectura de Red.

Recomendaciones

Para prevenir la infección para esta campaña concreta se pueden seguir las siguientes recomendaciones:

  • Instalación de la vacuna EMOTET-stopper en todos los equipos Windows a proteger
  • Mantener los Sistemas Operativos, el software de ofimática y el resto de software instalado en los equipos actualizados con los últimos parches de seguridad.
  • Mantener los sistemas de antivirus actualizados con las últimas firmas disponibles.
  • Evitar el uso de software que no disponga de soporte oficial.
  • Dehabilitar el uso de macros en ficheros ofimáticos y mantener siempre que se desconfíe de su origen la vista protegida activada.
  • Evitar o restringir los permisos administrativos cuando sea posible.
  • Aislar los equipos infectados con código dañino.
  • Aplicar políticas de backup, considerando respaldos fuera de línea y copias diarias, entre otras medidas.
  • Forzar al empleo de contraseñas robustas.
  • Deshabilitar la ejecución de macrosen documentos office.
  • Usar una política de whitelisting para las conexiones al exterior.
  • Deshabilitar la ejecución de PowerShell, siempre que no sea necesario.
  • Limitar el uso de cuentas con privilegios elevados, la activación del uso de escritorios remotos, el almacenamiento de contraseñas en formato de texto plano y, revisar el acceso y permisos de directorios compartidos.
  • Aplicar políticas de red, como segmentación de red entre otras.
  • EMOTET puede desplegar el troyano bancario Trickbot para robo información, seguido en última instancia del ransomware Ryuk sobre los equipos infectados. Recomendamos la lectura de los informes de Código Dañino CCN-CERT ID-26/19 Ryuk y CCN-CERT ID-24/19 TrickBot.

Referencias complementarias

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT.

Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo:

Helbide elektroniko hau spambot-etatik babestuta dago. JavaScript gaituta izan behar duzu ikusi ahal izateko. Helbide elektroniko hau spambot-etatik babestuta dago. JavaScript gaituta izan behar duzu ikusi ahal izateko.

Síganos en:

www.ccn-cert.cni.es

//////////////////////////////////////////////////////////////////////////////////////////

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como CERT Gubernamental/Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 regulador del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.

De acuerdo a todas ellas, es competencia del CCN-CERT la gestión de ciberincidentes que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país y a cualquier sistema clasificado. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas.

---------------------
Claves PGP Públicas
---------------------
Helbide elektroniko hau spambot-etatik babestuta dago. JavaScript gaituta izan behar duzu ikusi ahal izateko. / Helbide elektroniko hau spambot-etatik babestuta dago. JavaScript gaituta izan behar duzu ikusi ahal izateko.
--------------------
Fingerprint: 558C FC10 FE3E 1EE3 54CD 5064 EE91 B20A 0E13 BF37
Descarga
--------------------

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario.
Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

 
     
© 2020 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

 

Ministerio de Defensa
CNI
CCN
CCN-CERT