Cybercops Scrub Botnet Software de millones de computadoras

 Emotet Botnet interrumpida en operación cibernética internacional

El notorio software de botnet Emotet comenzó a desinstalarse de un millón de computadoras el domingo.

Según SecurityWeek el comando de desinstalación era parte de una actualización enviada a las computadoras infectadas por los servidores policiales en los Países Bajos después de que la infraestructura de Emotet se vio comprometida en enero durante una operación multinacional montada por ocho países.

La actualización envenenada limpia la clave de registro de Windows que permite que los módulos de la botnet se ejecuten automáticamente, así como detener y eliminar servicios asociados.

"La amenaza planteada por Emotet ya fue neutralizada por la toma de control de toda su infraestructura de red por parte de las fuerzas del orden público en enero pasado", explicó Jean-Ian Boutin, jefe de investigación de amenazas en Eset una empresa de seguridad de tecnología de la información con sede en Bratislava, República Eslovaca.

"Nuestro seguimiento continuo de Emotet s dice que la operación ha sido un éxito total ", dijo a TechNewsWorld.

" El domingo, se activó un procedimiento de limpieza en los sistemas comprometidos que se conectaban a la infraestructura controlada por las fuerzas del orden ", continuó. "La actualización elimina los mecanismos de persistencia de Emotet, evitando efectivamente que la amenaza llegue a cualquier servidor de comando y control en el futuro".

Según el Departamento de Justicia de EE. UU., Emotet infectó 1,6 millones de computadoras en todo el mundo desde el 1 de abril de 2020 hasta el 17 de enero. , 2021 y causó millones de dólares en daños a las víctimas en todo el mundo.

En los Estados Unidos, la Agencia de Infraestructura y Ciberseguridad de EE. UU. Estima que las infecciones de Emotet cuestan a los gobiernos locales, estatales, tribales y territoriales hasta 1 millón de dólares por incidente de reparación.

Máquinas aún en riesgo

Aunque Emotet ha sido neutralizado, las máquinas infectadas siguen en riesgo.

"Emotet en sí no era conocido por muchos comportamientos maliciosos, especialmente en sus últimas iteraciones", observó Chet Wisniewski. científico investigador principal en Sophos una empresa de gestión de amenazas y seguridad de red con sede en el Reino Unido.

"Era conocida por traer consigo otro software malicioso, lo que probablemente hizo antes de la adquisición por parte de la policía de la infraestructura de comando y control ", dijo a TechNewsWorld. "Su eliminación no tiene ningún efecto sobre otro software malicioso que pueda haber traído consigo".

Boutin señaló que en los últimos dos años, Emotet distribuyó activamente al menos seis familias de malware diferentes: Ursnif, Trickbot, Qbot, Nymaim, Iceid y Gootkit .

"Una vez instaladas, las familias de malware se ejecutan independientemente de Emotet", dijo. "Por lo tanto, ambos deben erradicarse para que el sistema esté libre de malware".

"La brecha entre la eliminación de la infraestructura de red y la operación de limpieza del domingo era permitir que las organizaciones afectadas encontraran estas diferentes familias de malware y tomaran las medidas necesarias para limpiar su red ", explicó.

Desactivar Emotet puede verse como un primer paso para recuperar estas máquinas, pero está lejos de ser el único paso", agregó Christopher Fielder, director de marketing de productos de Arctic Wolf un fabricante de software SIEM en la nube.

"Estas máquinas aún deben considerarse comprometidas y se debe acceder a ellas mediante un plan de respuesta a incidentes eficaz", dijo a TechNewsWorld.

Si los propietarios de las máquinas infectadas están siendo notificados sobre el La posibilidad de nuevas infecciones no está clara, señaló Dirk Schrader, vicepresidente global de New Net Technologies un proveedor de software de cumplimiento y seguridad de TI con sede en Naples, Florida. [19659003] "Sin duda sería útil alertar al propietario del sistema de que se necesitan más análisis forenses", observó.

Logro significativo

Eliminar a Emotet del panorama de amenazas es un gran logro, sostuvo Wisniewski. "Fue una de las amenazas de correo electrónico más peligrosas y prolíficas del mundo", dijo.

"Creo que la eliminación y adquisición inicial de la infraestructura de comando fue fantástica y algo que nos encantaría ver más", agregó. .

"Esta última acción, sin embargo, parece que no es tan útil y es más un movimiento de relaciones públicas que cualquier cosa que mantenga al público a salvo", señaló Wisniewski.

"La eliminación es muy significativa, "añadió Vinay Pidathala, director de investigación de seguridad en Menlo Security una empresa de ciberseguridad en Mountain View, California.

Señaló que en la base de clientes global de Menlo Security, Emotet era el principal malware que protegía a los clientes. contra en 2020.

"Emotet también fue responsable de muchas infecciones de ransomware, por lo que eliminar una plataforma de distribución de malware tan generalizada es bueno para Internet", agregó.

Por más gratificante que sea la eliminación de Emotet, los estragos que causó en innumerables redes rks durante siete años es alarmante, declaró Hitesh Sheth, presidente y director ejecutivo de Vectra AI un proveedor de soluciones automatizadas de gestión de amenazas con sede en San José, California.

"Debemos aspirar a tener más cooperación internacional para la seguridad cibernética más un mejor tiempo de respuesta ", dijo a TechNewsWorld.

" Ninguno de nosotros sabe cuántos primos de malware de Emotet están haciendo más daño en este momento ", dijo," pero si cada uno tarda siete años en neutralizarse, seguiremos en crisis duradera ".

Una de las razones por las que se tardó tanto en derribar Emotet fue la complejidad de su infraestructura de red.

" A través de nuestro seguimiento a largo plazo de la botnet, identificamos cientos de servidores de comando y control, organizados en diferentes capas y repartidos por todo el mundo ", explicó Boutin. "Para tener éxito, la operación necesitaba eliminar todos estos servidores de C&C al mismo tiempo, una tarea muy difícil".

Preocupaciones por la privacidad

Los expertos en seguridad generalmente elogiaron a las fuerzas del orden por derribar a Emotet, aunque algunos estaban preocupados por la acción.

"Creo que los derribos son críticos y las agencias de aplicación de la ley son importantes para poder acelerar y poner la cantidad correcta de recursos para hacer algo a gran escala. Estas acciones son encomiables ", observó Pidathala.

Boutin señaló que la eliminación no se limitó a cerrar la infraestructura de una botnet, sino que fue más allá con el arresto de personas sospechosas de estar involucradas con Emotet.

"Impulsar la rutina de desinstalación en los sistemas infectados fue la guinda del pastel", dijo. "Con suerte, esta acción servirá como referencia y hará que las futuras operaciones de eliminación sean más fáciles y eficientes".

Sin embargo, Austin Merritt, analista de inteligencia de amenazas cibernéticas en Digital Shadows un proveedor de servicios digitales con sede en San Francisco soluciones de protección contra riesgos, señaló que las eliminaciones pueden plantear algunos problemas de privacidad.

"Las personas objetivo de Emotet pueden estar preocupadas de que involucrar al FBI podría permitirles ingresar indiscriminadamente a las computadoras de las víctimas y ver qué hay allí", dijo a TechNewsWorld. "En consecuencia, puede haber preocupaciones de que las fuerzas del orden público obtengan información no pública de ellos".

Si bien la eliminación automática de malware parece ser una excelente respuesta a estas infecciones, especialmente en implementaciones grandes como Emotet, existen algunos problemas éticos con el enfoque , agregó Erich Kron, defensor de la conciencia de seguridad en KnowBe4 un proveedor de capacitación en conciencia de seguridad en Clearwater, Florida

"Parte del problema es que la policía está eliminando activamente archivos de dispositivos de propiedad privada", dijo dijo a TechNewsWorld. "Incluso con las mejores intenciones, esto tiene el potencial de convertirse en un problema".

Los errores de codificación podrían causar interrupciones y pérdida de ingresos o servicios en futuras actividades de eliminación automática de malware, explicó.

"Además, "Kron continuó," puede haber una falta de notificación a las organizaciones afectadas. Esto podría convertirse en un problema si el proceso de eliminación automatizado ocurre al mismo tiempo que los administradores de dispositivos están haciendo su recopilación de datos forenses o eliminando el malware ellos mismos. Sin coordinación, esto podría convertirse en un problema importante para una organización ".

" Esta tendencia, si bien es beneficiosa a corto plazo, es un tema que debe discutirse más a fondo dentro de la industria de la ciberseguridad, con énfasis en cómo administrar las notificaciones a aquellos cuyos dispositivos se han modificado, gestionando la supervisión y, potencialmente, la opción de excluirse por completo de estas acciones de aplicación de la ley ", agregó.


Leave a Reply

Your email address will not be published. Required fields are marked *