Detectar Actividad de Emotet: Infame Malware Resurgido para Atacar Sistemas en Todo el Mundo

[post-views]
marzo 16, 2022 · 4 min de lectura
Detectar Actividad de Emotet: Infame Malware Resurgido para Atacar Sistemas en Todo el Mundo

El notorio Emotet ha vuelto, teniendo su resurgimiento de Época 5 después de que todos los servidores de comando y control (C&C) de la botnet fueran interrumpidos en una operación conjunta de aplicación de la ley internacional, la Operación Ladybird, a principios de 2021. Según los investigadores, solo era cuestión de tiempo para que la infraestructura C&C de Emotet se restaurara y comenzara una campaña de ciberataques a gran escala nuevamente. Y aunque los mantenedores del malware siguen siendo desconocidos, esta campaña coincide sospechosamente con la invasión rusa de Ucrania.

En SOC Prime, continuamos renovando nuestro contenido de detección para que pueda capturar la actividad más reciente de Emotet y similares lo antes posible. A continuación, encontrará las reglas de detección más nuevas y un análisis en profundidad.

Detección de Ataques de Emotet

Para detectar el comportamiento más reciente de Emotet, consulte las reglas creadas por nuestro desarrollador de Threat Bounty Furkan Celik:

Emotet Detectado Nuevamente en Archivos MS Office (Marzo) (vía evento de registro)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio

FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

Las reglas están alineadas con el marco MITRE ATT&CK® más reciente v.10, abordando la táctica de Evasión de Defensa con Modificar Registro (T1112) como técnica principal.

Detección de Nuevos Comportamientos de Emotet (Marzo) (vía creación de proceso)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache, Kafka ksqlDB, Securonix, AWS OpenSearch.

Las reglas están alineadas con el marco MITRE ATT&CK® más reciente v.10, abordando la táctica de Evasión de Defensa con Ejecución de Proxy Binario Firmado (T1218) como técnica principal.

Las organizaciones también deben ser conscientes de que una vez que este botnet ingresa en la red, puede descargar otras cepas de ataques de malware como Emotet que provocarían más explotaciones de comportamientos diferentes. Por eso es necesario verificar cualquier signo de daño colateral como ransomware junto con la distribución del bot de Emotet. Para encontrar todo el contenido que aborda el comportamiento malicioso de Emotet, puede consultar el contenido de detección disponible en la plataforma de SOC Prime.

Los defensores cibernéticos son más que bienvenidos a unirse a nuestro programa Threat Bounty para aprovechar el poder de la comunidad y ser recompensados por su contenido de detección de amenazas.

Ver Detecciones Unirse a Threat Bounty

Proceso de Infección de Emotet

Para ilustrar la importancia del resurgimiento de Emotet, Proofpoint encontró más de 2.73 millones de correos electrónicos de phishing enviados por Emotet hasta la primera semana de marzo de 2022. Fue más que la cantidad de los mismos correos electrónicos para todo el mes de febrero de 2022 (2.07 millones). Anteriormente, en noviembre de 2021, se detectó una red de 130,000 nuevos bots en 179 países.

Nueva evidencia de actividad de Emotet muestra que los atacantes han estado utilizando nuevas características para operar sin ser detectados y pasar desapercibidos por los sistemas de seguridad de sus víctimas. Para ello, los adversarios encriptaron el tráfico de red mediante criptografía de curva elíptica (ECC) y separaron la lista de procesos en su propio módulo. Además, las nuevas versiones de malware tienden a recopilar más información sobre los hosts infectados.

Los investigadores de Black Lotus Labs mencionan que la velocidad promedio de crecimiento de la nueva campaña de Emotet es de aproximadamente 77 C&Cs únicos de primer nivel por día desde finales de febrero de 2022 hasta el 4 de marzo de 2022, con la mayoría de las ubicaciones C2 de Emotet estando en EE.UU. y Alemania. Mientras tanto, los bots infectados se concentran principalmente en regiones como Asia, India, México, Sudáfrica, China, Brasil e Italia. Dado el número de dispositivos Windows desactualizados, es comprensible por qué estas regiones fueron tan afectadas.

La botnet Emotet crece a una velocidad sin precedentes mientras puedan infectar las máquinas de millones de víctimas y convertirlas en bots maliciosos. Detenerlos es posible uniéndose al enfoque de defensa colaborativa. Únase a la plataforma Detection as Code de SOC Prime y obtenga acceso inmediato al contenido más reciente que lo ayudará a detectar las amenazas cibernéticas más nuevas y sigilosas. Y si siente que puede contribuir con valioso conocimiento, envíe su contenido de detección a nuestro programa de crowdsourcing y obtenga recompensas recurrentes por su contenido único.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Acceder a la Funcionalidad de Uncoder AI a través de API 2 min de lectura Plataforma SOC Prime Acceder a la Funcionalidad de Uncoder AI a través de API by Steven Edwards Buscar en el Mercado de Detección de Amenazas de Uncoder AI 2 min de lectura Plataforma SOC Prime Buscar en el Mercado de Detección de Amenazas de Uncoder AI by Steven Edwards Traducir de Sigma a 48 idiomas 2 min de lectura Plataforma SOC Prime Traducir de Sigma a 48 idiomas by Steven Edwards
Todas las noticias