Emotet, una de las redes de bots de spam de correo electrónico más peligrosas de la historia reciente, se está desinstalando hoy de todos los dispositivos infectados con la ayuda de un módulo de malware entregado en enero por la policía.
La eliminación de la botnet es el resultado de una acción policial internacional que permitió a los investigadores tomar el control de los servidores de Emotet e interrumpir el funcionamiento del malware.
Emotet fue utilizado por el grupo de amenazas TA542 (también conocido como Mummy Spider ) para implementar cargas útiles de malware de segunda etapa, incluidos QBot y Trickbot, en las computadoras comprometidas de sus víctimas.
Los ataques de TA542 generalmente condujeron a un compromiso total de la red y al despliegue de cargas útiles de ransomware en todos los sistemas infectados, incluidos ProLock o Egregor de Qbot , y Ryuk y Conti de TrickBot.
Cómo funciona el desinstalador de Emotet
Después de la operación de eliminación, la policía impulsó una nueva configuración para las infecciones activas de Emotet para que el malware comenzara a usar servidores de comando y control controlados por Bundeskriminalamt, la agencia de policía federal de Alemania.
Luego, la policía distribuyó un nuevo módulo Emotet en forma de EmotetLoader.dll de 32 bits a todos los sistemas infectados que desinstalarán automáticamente el malware el 25 de abril de 2021.
Los investigadores de seguridad de Malwarebytes, Jérôme Segura y Hasherezade, examinaron más de cerca el módulo de desinstalación entregado por las fuerzas del orden a los servidores de Emotet.
Después de cambiar el reloj del sistema en una máquina de prueba para activar el módulo, descubrieron que solo elimina los servicios asociados de Windows, ejecuta automáticamente las claves del Registro y luego sale del proceso, dejando intacto todo lo demás en los dispositivos comprometidos.
"Para que este tipo de enfoque tenga éxito con el tiempo, será importante tener tantos ojos como sea posible en estas actualizaciones y, si es posible, las agencias de aplicación de la ley involucradas deberían publicar estas actualizaciones en la Internet abierta para que los analistas puedan asegurarse de que nada se está introduciendo lo no deseado ", dijo a BleepingComputer Marcin Kleczynski, director ejecutivo de Malwarebytes.
"Dicho todo esto, vemos esta instancia específica como una situación única y alentamos a nuestros socios de la industria a ver esto como un evento aislado que requirió una solución especial y no como una oportunidad para establecer políticas en el futuro".
La agencia de la policía federal alemana está detrás del módulo de desinstalación de Emotet
En enero, cuando la policía derribó a Emotet, Europol le dijo a BleepingComputer que la agencia de policía federal Bundeskriminalamt (BKA) alemana era responsable de crear e impulsar el módulo de desinstalación.
"En el marco de las medidas procesales penales llevadas a cabo a nivel internacional, el Bundeskriminalamt ha dispuesto que el malware Emotet sea puesto en cuarentena en los sistemas informáticos afectados", dijo Bundeskriminalamt a Bleepingcomputer.
En un comunicado de prensa del 28 de enero , el Departamento de Justicia de EE. UU. (DOJ) también confirmó que el Bundeskriminalamt envió el módulo de desinstalación a las computadoras infectadas con Emotet.
"La policía extranjera, trabajando en colaboración con el FBI, reemplazó el malware Emotet en los servidores ubicados en su jurisdicción con un archivo creado por la policía", dijo el DOJ.
"El archivo de aplicación de la ley no corrige otro malware que ya estaba instalado en la computadora infectada a través de Emotet; en cambio, está diseñado para evitar que se instale malware adicional en la computadora infectada al desvincular la computadora víctima de la botnet".
Se retrasó la eliminación de Emotet para recopilar más pruebas
El Bundeskriminalamt le dijo a BleepingComputer en enero que la demora en la desinstalación fue para incautar pruebas y limpiar las máquinas del malware.
Es necesaria una identificación de los sistemas afectados para incautar pruebas y permitir a los usuarios interesados llevar a cabo una limpieza completa del sistema para evitar nuevas infracciones. Para ello, los parámetros de comunicación del software se han ajustado de manera que los sistemas de víctimas ya no se comuniquen con la infraestructura de los infractores sino con una infraestructura creada para la incautación de pruebas. - Bundeskriminalamt
"Por favor, comprenda que no podemos proporcionar más información ya que las investigaciones aún están en curso", dijo el Bundeskriminalamt a BleepingComputer cuando se le solicitó más información.
Cuando BleepingComputer se acercó nuevamente para comentar sobre la operación de hoy, no recibimos una respuesta.
El FBI también se negó a comentar cuando se le preguntó esta semana si la operación de eliminación de Emotet de los dispositivos ubicados en los EE. UU. Todavía está planeada para el domingo 25 de abril.
A principios de este mes, el FBI coordinó una operación aprobada por el tribunal para eliminar los shells web de los servidores Microsoft Exchange con sede en EE. UU. Comprometidos con las vulnerabilidades de ProxyLogon sin notificar primero a los propietarios de los servidores.
El FBI dijo que solo eliminó los shells web y no aplicó actualizaciones de seguridad ni eliminó otro malware que los actores de amenazas pudieran haber implementado en los servidores.
Fuente: https://www.bleepingcomputer.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios