Después de una larga ausencia el malware Emotet ha regresado con fuerza y ahora encabeza muchas de las listas de malware más buscadas y publicadas por investigadores de ciberseguridad.
Emotet es una pieza de malware sofisticada, de auto reproducción y propósito diverso con una estructura modular avanzada. Originalmente concebido como un troyano bancario, ahora se usa a menudo como canal de distribución para diferentes tipos de malware utilizando técnicas avanzadas de evasión o AETs, antes solo existentes a nivel de red. De hecho, lo que comenzó como una pieza específica de malware ahora se transformó en una empresa criminal de gran éxito que se utiliza regularmente para hacer llegar a la infraestructura herramientas de exfiltración, troyanos y ransomware.
En enero de 2021, una iniciativa policial conjunta encabezada por la Europol tomó el control de la infraestructura de Emotet y la desmanteló, pero ahora se está recuperando.
Uno de los secretos de la persistencia de Emotet es que evade constantemente las defensas basadas en la detección. Un buen indicador de la eficacia de una pieza de malware es ejecutarlo en un sitio web que aloja muchas de las principales tecnologías antimalware del mercado y ver cómo se ajusta para evadir la detección. Cuando los investigadores de Forcepoint hicieron esto con una muestra de Emotet, que constaba de una macro maliciosa incrustada dentro de un archivo .doc de Word 97, alrededor del 75 % de las tecnologías antimalware del sitio lo identificaron correctamente como una amenaza.
Desafortunadamente, al hacer el más mínimo cambio en la muestra de Emotet, la tasa de éxito se desplomó. Al agregar una línea de comentario simple al script de macro, el porcentaje de tecnologías antimalware que identificaron correctamente la muestra como maliciosa se redujo al 34%. Al tomar la versión modificada y copiarla y pegarla en un documento diferente de Word con contenido de cuerpo diferente, la tasa de éxito cayó al 20%.
Los cambios son triviales, pero resaltan un problema. Las defensas basadas en la detección tienen dificultades para seguir el ritmo cambiante de amenazas como Emotet. Entonces, ¿qué hay que hacer?
Emotet generalmente se oculta en documentos de Microsoft Word y se entrega como archivos adjuntos disfrazados de cualquier cosa, desde facturas y avisos de envío hasta actualizaciones de COVID 19. Para combatir esto, es importante garantizar que las defensas antimalware basadas en la detección se mantengan actualizadas y educar a los usuarios sobre el riesgo de ataque. Pero se necesita aún más.
Mediante un enfoque de confianza cero (Zero Trust) puede solucionar el problema del malware oculto en los archivos de negocio cotidianos, como documentos de Office, PDF e imágenes. Ninguna empresa o usuario puede estar 100% seguro de si se ha detectado o no la presencia de algo como Emotet en un archivo adjunto de correo electrónico, el único enfoque seguro es mejor no confiar en ningún archivo adjunto y hacerlos seguros transformándolos.
El proceso de transformación implica extraer la información de negocio útil de un documento, descartar el original (junto con cualquier contenido activo, estructuras mal formadas o características innecesarias) y crear uno nuevo con la información que contiene para entregarlo al usuario. Este enfoque de Zero Trust CDR ofrece archivos adjuntos libres de amenazas porque ninguno de los archivos digitales originales se entrega al punto final eliminando el concepto del paciente cero.
Cero Confianza CDR y Emotet
Emotet llegó para quedarse. La mejor manera de mitigar la amenaza es primero que nada evitar que ingrese a su organización. Aunque las herramientas de malware basadas en la detección pueden ayudar, los delincuentes encuentran cada vez más formas de evadir la detección. Combatir este problema requiere defensas adicionales incluso a nivel de red que ofrezcan protección avanzada, transformando los archivos entrantes para eliminar cualquier amenaza y hacerlos seguros.
Por: Jorge Cisneros, catedrático y ejecutivo de Forcepoint.