jueves, 29 de abril de 2021

Emotet, una de las botnets más grandes está muriendo

Emotet se muere

      Una de las mayores redes de bots conocida en la historia Emotet cayo hace unos meses en una operación internacional, en esta participaron las autoridades de Alemania, Canadá, Estados Unidos, Francia, Lituania, Países Bajos, Reino Unido y Ucrania, todas ellas lideradas por la Europol y Eurojust. En esta operación el objetivo final fue los servidores de comando y control de Emotet, estos sistemas eran los encargados de enviar las tareas a los bots, el lugar donde los bots obtenían las cargas útiles etc.

En esta operación llevada a cabo en febrero se consiguió tumbar los servidores de comando y control, aunque el malware seguía estando instalado en los equipos afectados, por lo que teóricamente ningún sistema afectado tenía su seguridad comprometida o participaba en acciones ilícitas.

Con estas acciones no estaba eliminado el riesgo total, debido a que el malware seguía en los dispositivos infectados, por lo tanto, el grupo de operadores de Emotet, el grupo TA542 (aka Mummy Spider) podría encontrar la manera de replicar el servidor de comando y control, recobrando el control sobre todos los sistemas afectados.

Esto se solucionó la semana pasada, donde la agencia de policía federal alemana empezó a repartir a los sistemas afectados por Emotet un archivo denominado EmotetLoader.dll, este archivo se encarga de eliminar los servicios asociados de Windows y modificar automáticamente las claves de registros, finalizando de esta forma con la persistencia del malware. Esto fue llevado a cabo enviando el archivo desde la red de servidores de mando y control del propio Emotet.

Los investigadores han informado que no se ha podido eliminar el 100% de los componentes del malware de los equipos infectados, pero si ha sido posible eliminar los elementos de persistencia, así como la posibilidad de conectarse a la red a la espera de órdenes. Con esto podríamos empezar a decir que Emotet ha comenzado a morir definitivamente.

No hay comentarios:

Publicar un comentario