En este artículo vamos a hablaros de qué es Emotet, un malware que comenzó a causar estragos en 2014 y que a día de hoy sigue suponiendo una amenaza y dando problemas haya donde infecte un equipo. Explicaremos cómo funciona, cuáles son sus objetivos y cómo eliminarlo.
En este artículo hablamos de:
¿Qué es Emotet?
Emotet es un virus de tipo troyano polimórfico (que tiene la capacidad de cambiar de manera automática su código para evitar la detección mediante firmas). Comenzó como un troyano bancario, para robar información financiera, pero con los años ha ido evolucionando e integrando nuevas funciones gracias a su servidor C&C (comando y control), que le permite descargar estas.
Entre esas funciones, también se incluye la de gusano, puesto que Emotet tiene la capacidad de secuestrar nuestra libreta de direcciones y reenviarse a todos nuestros contactos para seguir propagándose.
¿Cuál es la historia de Emotet?
Si bien Emotet sigue muy presente, ya que sus últimas campañas se detectaron varias veces a lo largo de 2022, su origen se remonta a 2014, cuando comenzó como troyano bancario, con el objetivo de robar datos de cuentas bancarias, mediante la interceptación de tráfico en internet.
Pero, como decíamos, Emotet ha sido un malware que ha ido evolucionando, y su segunda versión incluía varios módulos: un sistema de transferencia de dinero, un módulo de spam malicioso y un módulo bancario que, en principio, se dirigió a bancos alemanes y austriacos.
En 2015 aparecería la tercera versión de Emotet, con más modificaciones ocultas, esta vez con el objetivo de hacerlo pasar desapercibido y poniendo su diana en los bancos suizos.
En subsiguientes evoluciones, Emotet se convirtió en un propagador de otros malware, como Trickbot y Ryuk. Así que ahora, aparte de dedicarse a su objetivo principal, que es el robo de credenciales bancarias, también infecta nuestro equipo con otros virus.
Además, y como ya indicamos al principio, Emotet es polimórfico, lo que le permite burlar las soluciones de seguridad basadas en firmas y modificarse también para conseguir otro tipo de datos más allá de las credenciales bancarias, como cuentas de correo, datos informáticos o credenciales de usuario.
¿A quién se dirige Emotet?
Aunque en origen, Emotet se dirigió contra bancos alemanes y austriacos, en la actualidad nadie está a salvo de sufrir una infección de este virus; Emotet ha atacado empresas, entidades gubernamentales y a usuarios particulares de EE. UU., Canadá y Europa, robando datos bancarios, datos financieros y carteras de criptomonedas.
¿Cómo se propaga Emotet?
Emotet utiliza un método de propagación bastante clásico; llega a través de un correo malicioso con enlaces o archivos adjuntos, con mensajes breves e intrigantes para lograr que el usuario los abra y descargue el archivo. Puede parecer un método sencillo con pocas probabilidades de éxito hoy en día, que estamos más atentos a estas cosas, pero lo cierto es que este tipo de emails ha evolucionado también; están bien redactados, generalmente en nuestro idioma y utiliza asuntos breves para picar la curiosidad de la víctima (como “Propuesta”, “Respuesta” o “Nueva Plantilla”).
El cuerpo de estos correos en sí no ofrecen apenas información, lo que nos remite al enlace o archivo adjunto; si la víctima se siente intrigada y, además, el remitente es una dirección conocida (recordamos que Emotet se hace con nuestra libreta de direcciones para reenviarse a nuestros contactos), es relativamente fácil que acabe descargando y abriendo el archivo.
El documento descargado parece legítimo y al abrirlo en Microsoft Office (normalmente suele ser un documento de esta familia), se nos avisa de que estamos viendo un documento en modo de vista protegida, de manera que aparece la barra amarilla con un botón que permite deshabilitar la protección contra la ejecución de macros en el documento.
Es en esas macros donde se encuentra el código que ejecutará el malware en nuestro equipo. Debéis tener en cuenta que el sistema de protección para bloquear macros se habilitó precisamente para evitar estos ataques, por lo que deberías mantenerlo siempre activado y desconfiar de cualquier archivo que os pida deshabilitar esta protección, a no ser que sea de vuestra entera confianza.
Para lograr que las víctimas acaben picando y ejecutando las macros, los ciberdelincuentes incluyen una imagen al documento que simula un mensaje de error del editor, insistiendo en la necesidad de desactivar la protección para poder visualizar el contenido. Si finalmente se hace, se activan una serie de macros que ejecutan un código PowerShell iniciando la infección del equipo. Este código se conecta con los servidores de los atacantes para descargar el instalador del troyano Emotet, ejecutarlo y camuflar su ejecutable para dificultar su detección.
Cuando eso ha ocurrido, Emotet se mantendrá oculto a la espera de que el usuario acceda a algún servicio bancario o de pago online para comenzar a robar sus datos bancarios de usuario. O para robar cualquier información que sea su objetivo o propagar otros malware.
Además, como ya comentamos, Emotet es un gusano también y al hacerse con nuestra libreta de direcciones, reenviará de manera masiva el archivo infectado, mientras que nuestra dirección aparecerá como remitente, facilitando que los destinatarios confíen en el contenido.
Medidas preventivas efectivas frente al troyano Emotet
Es posible prevenir un ataque del troyano Emotet. A continuación vamos a ver una serie de medidas que podemos adoptar tanto a nivel de usuario particular como de empresa para protegernos ante Emotet.
A nivel particular, la principal línea de defensa es no fiarse de los correos con archivos adjuntos o enlaces que parezcan mínimamente sospechosos, incluso cuando el remitente es un contacto conocido, si sospecháis del archivo adjunto o el enlace, no lo descarguéis o pinchéis en él.
Si aun así tenéis curiosidad, para comprobar este tipo de enlaces y archivos, desde el INCIBE nos recomiendan utilizar herramientas como VirusTotal y URLhaus para analizarlos. Ambas herramientas pueden analizar e indicar si un enlace es malicioso o peligroso, mientras que con VirusTotal también podemos analizar archivos, pero tened en cuenta que en el momento que se analice, la información contenida dejará de ser confidencial.
También es importante mantener activada la protección contra la ejecución de macros de terceros en nuestras aplicaciones de Microsoft Office y no deshabilitarla si no estamos completamente seguros del origen del archivo.
Otra forma de prevenir las infecciones de Emotet es monitorizar las posibles fuentes de infección utilizando identificadores de compromiso, como dominios web, direcciones IP y hashes. Para ello, se debe configurar el firewall o la herramienta de seguridad que estéis utilizando para bloquear estos sitios fraudulentos.
Una forma de prevención que no puede faltar y que en otras entradas sobre ciberseguridad ya hemos mencionado, es la necesidad de tener actualizados a la última versión todos los software instalados en nuestros equipos, desde el sistema operativo, pasando las extensiones, hasta los antivirus y antispam. Si tenemos nuestros equipos actualizados, estarán prevenidos y protegidos contra las últimas amenazas.
Las empresas querrán tener sus redes lo más segmentadas posible, de manera que los accesos de determinadas áreas y niveles estén restringidos para los usuarios en función de lo que necesiten para el desarrollo de sus tareas. Implementar soluciones de seguridad Zero Trust o redes de confianza cero es una opción a tener en cuenta.
Finalmente, en el Centro Criptológico Nacional (CCN-CERT) tenemos disponible la herramienta Emotet Stopper, una vacuna que podemos instalar en todos los equipos Windows y que nos ayudará a protegernos ante el ataque de este malware. Además, antivirus como Kaspersky, Avast o Panda Security (por nombrar algunos) pueden detectarlo en los equipos infectados.
¿Cómo eliminar Emotet?
Si resulta que nuestro equipo ha sido infectado por Emotet, lo primero que debemos hacer, en caso de estar conectados a la red de la empresa, es desconectar el equipo infectado de la red lo antes posible para evitar que se contagie más equipos.
El siguiente paso será localizar dónde está alojado para detener el proceso mediante el administrador de tareas y pasar a eliminarlo del equipo. Para esto último es posible que necesitemos actualizar tanto el sistema operativo como los antivirus; al estar desconectados de la red, tendremos que instalarlos de manera manual, para ello los descargaremos en una memoria USB o un DVD y los instalaremos desde ahí en el equipo infectado.
Una vez hecha esa instalación, analizaremos en profundidad el sistema, preferiblemente ejecutando el análisis del antivirus durante el arranque del sistema (la mayoría de antivirus cuenta con esta opción) o en el modo seguro de Windows, lo que nos permitirá detectarlo y pasar a eliminarlo.
Cabe señalar que para detectar la posible infección de Emotet existe una herramienta llamada EmoCheck, desarrollada por el CERT de Japón, que podemos encontrar en GitHub para descargar. Funciona en sistemas de 32 y 64 bits y su uso es muy sencillo; basta con descargar la versión correspondiente y ejecutarla (es un archivo .exe, así que en cuento pinchéis en ella se ejecutará).
Al ejecutar EmoCheck nos aparecerá una ventana en la que se nos mostrará un mensaje de aviso:
- “No detection” si el equipo no está infectado.
- Y si lo detecta, ofrecerá información para su desinfección, así como el nombre del proceso, el identificador del proceso (o PID) y la ruta absoluta en la que se encuentra alojado.
EmoCheck también genera un informe en la misma ruta donde se ejecutó la herramienta con la información sobre el análisis.
En definitiva, Emotet parece que sigue vivo y muy presente, por lo que es una amenaza a tener en cuenta. Por ello, es importante mantener nuestros software actualizados a sus últimas versiones, tener activas todas las medidas de seguridad (firewall, antivirus, antispam, etc.) y desconfiar de correos sospechosos con enlaces o archivos adjuntos. Ya que Emotet no solo nos puede robar nuestros datos bancarios (con todo lo que ello implica), sino que además puede infectar nuestro equipo con otros virus igual o más problemáticos.