Campaña troyano EMOTET

Fecha de publicación: 07/10/2019
Nivel de peligrosidad: Muy alta

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, alerta a su Comunidad de una campaña muy agresiva de ataques del troyano EMOTET contra los usuarios finales. Aunque EMOTET tiene diferentes módulos y funcionalidades, su objetivo en esta ocasión está siendo el robo de credenciales bancarias pero, por su funcionamiento, no se descarta que pudiera cambiar su finalidad.

La campaña comenzó a mediados de septiembre y se distribuye a través de correos electrónicos que tienen un documento ofimático (Word) con macros que, al ser activadas, infectan el equipo. Los correos electrónicos suelen llevar algún asunto genérico para evitar ser sospechoso: "Propuesta", "Respuesta", "Privacidad" o "Nueva Plantilla".

Sistemas afectados

Cualquier versión de Microsoft Windows.

Medidas de prevención

Para prevenir la infección para esta campaña concreta se pueden seguir las siguientes recomendaciones:

• Instalación de la herramienta EMOTET-stopper en todos los equipos Windows a proteger, disponible desde el siguiente enlace: http://ccn-cert.net/emotet2019
  Se deberán habilitar los mecanismos necesarios para que se ejecute tras cada reinicio.
  En caso de que el Antivirus o Sistema Operativo detecten la herramienta como código dañino, se deberá excepcionar para evitar su eliminación.
  La herramienta se ejecuta en segundo plano por lo que solo se verá desde el Administrador de tareas.
• Dado que el vector principal de infección de esta campaña de EMOTET es el correo electrónico, recomendamos revisar la Guía de Buenas Prácticas del CCN-CERT sobre dicha temática: http://ccn-cert.net/bpmail
• Dado que el vector principal de infección de esta campaña de EMOTET es el correo electrónico, recomendamos revisar la Guía de Buenas Prácticas del CCN-CERT sobre dicha temática:
• De la misma manera se recomienda deshabilitar Powershell en aquellos equipos en los que no sea necesaria la ejecución de comandos en dicho lenguaje.
• El CCN-CERT ha recopilado en 3 listas negras los indicadores que permiten la detección y bloqueo de gran parte de esta campaña: listas de IP, dominios y hashes de las muestras empleadas. Pueden descargar dichas listas aquí: http://ccn-cert.net/emotet-ioc
• EMOTET puede desplegar el troyano bancario Trickbot para robo información, seguido en última instancia del ransomware Ryuk sobre los equipos infectados. Actualmente no existe forma de descifrar los ficheros afectados por esta familia. Recomendamos la lectura de la Guía de Buenas Prácticas sobre Ransomware que el CCN-CERT ha elaborado: http://ccn-cert.net/bpransomware
• Mantener el Sistema Operativo, el antivirus actualizado y disponer de copias de seguridad offline (sin conexión con la red).

Medidas de detección

• Para contrarrestar los efectos de esta campaña, el CCN-CERT recomienda la búsqueda en la red de los Indicadores de Compromiso (IOC). Concretamente se debe realizar la búsqueda en los registros de conectividad (proxy/firewall/DNS) para comprobar si ha existido conectividad con los dominios o IP incluidos en las listas negras (http://ccn-cert.net/emotet-ioc)
• Para la detección en los equipos se puede utilizar las siguiente regla YARA: http://ccn-cert.net/emotet-yara

Medidas de mitigación

• Utilizar los indicadores proporcionados para identificar qué equipos se encuentran afectados por la campaña.
• Sobre dichos equipos se deberá realizar una copia de seguridad de la información, incluso si éstos han sido cifrados por ransomware y no se dispone de copia de los mismos. En caso de tener copia de seguridad, se recomienda que tome medidas necesarias para que no sea comprometida. Por ejemplo, en caso de disponer de copia offline, haga una copia de la misma antes intentar la restauración al conectarla a los sistemas afectados.
• Tras ello será necesaria la reinstalación completa de todos los equipos afectados, es importante realizar este paso y NO intentar limpiar los mismos (ya que la reinfección de equipos es probable si no se realiza la reinstalación).
• El Directorio Activo del Dominio ha de ser reconstruido de nuevo reseteando las credenciales de todos los usuarios.

Referencias complementarias:

• CSIRTCV
• ABUSE.CH
• CCN-CERT BP MAIL
• CCN-CERT BP Ransomware
• Basque Cybersecurity Centre

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT.

Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo:

Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo. Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo.

Síganos en:

www.ccn-cert.cni.es

//////////////////////////////////////////////////////////////////////////////////////////

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como CERT Gubernamental/Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 regulador del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.

De acuerdo a todas ellas, es competencia del CCN-CERT la gestión de ciberincidentes que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país y a cualquier sistema clasificado. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas.

---------------------
Claves PGP Públicas
---------------------
Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo. / Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo.
--------------------
Fingerprint: 558C FC10 FE3E 1EE3 54CD 5064 EE91 B20A 0E13 BF37
Descarga
--------------------

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario.
Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.