Repunte de la campaña de EMOTET

Fecha de publicación: 20/01/2020
Nivel de peligrosidad: Muy alto

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, alerta a su Comunidad de que se está detectando un repunte importante de la campaña de ataques del código dañino EMOTET, en sus distintas variantes.

La campaña, que comenzó en septiembre de 2019 y tuvo una gran virulencia en todo el mundo, utiliza diferentes métodos para conseguir infectar equipos que utilizan Sistemas Operativos de Microsoft Windows. Emotet posee módulos propios para realizar diversas acciones y despliega, además, diferentes códigos dañinos como, por ejemplo Trickbot.

Sistemas afectados

Cualquier versión de Microsoft Windows.

Medidas de prevención

Atendiendo al comportamiento de este tipo de código dañino, debe tomarse especial atención en todas aquellas medidas que puedan mejorar la seguridad y que podrían prevenir su actuación, en todos los niveles a los que pueda producirse.

Para ello, recomendamos la lectura del Informe CCN-CERT IA 76/19 Medidas de actuación frente al código dañino EMOTET donde se aborda qué hacer en relación al correo electrónico, los documentos ofimáticos de Word, el Sistema Operativo y la Arquitectura de Red.

Recomendaciones

Para prevenir la infección para esta campaña concreta se pueden seguir las siguientes recomendaciones:

  • Instalación de la vacuna EMOTET-stopper en todos los equipos Windows a proteger

  • Mantener los Sistemas Operativos, el software de ofimática y el resto de software instalado en los equipos actualizados con los últimos parches de seguridad.

  • Mantener los sistemas de antivirus actualizados con las últimas firmas disponibles.

  • Evitar el uso de software que no disponga de soporte oficial.

  • Dehabilitar el uso de macros en ficheros ofimáticos y mantener siempre que se desconfíe de su origen la vista protegida activada.

  • Evitar o restringir los permisos administrativos cuando sea posible.

  • Aislar los equipos infectados con código dañino.

  • Aplicar políticas de backup, considerando respaldos fuera de línea y copias diarias, entre otras medidas.

  • Forzar al empleo de contraseñas robustas.

  • Deshabilitar la ejecución de macrosen documentos office.

  • Usar una política de whitelisting para las conexiones al exterior.

  • Deshabilitar la ejecución de PowerShell, siempre que no sea necesario.

  • Limitar el uso de cuentas con privilegios elevados, la activación del uso de escritorios remotos, el almacenamiento de contraseñas en formato de texto plano y, revisar el acceso y permisos de directorios compartidos.

  • Aplicar políticas de red, como segmentación de red entre otras.

  • EMOTET puede desplegar el troyano bancario Trickbot para robo información, seguido en última instancia del ransomware Ryuk sobre los equipos infectados. Recomendamos la lectura de los informes de Código Dañino CCN-CERT ID-26/19 Ryuk y CCN-CERT ID-24/19 TrickBot.

Referencias complementarias

Fuente: CCN-CERT, Centro Criptologico Nacional.