La FEMP informa a los Ayuntamientos de una alerta informática del troyano EMOTET

Desde la Federación Española de Municipios y Provincias (FEMP) informa de una alerta de seguridad remitida por el Centro Criptológico Nacional y que afecta a cualquier versión de Microsoft Windows, al objeto de que adoptar las medidas oportunas en los sistemas. Se han detectado varios Ayuntamientos afectados:

¡ALERTA! Campaña TROYANO EMOTET

Nivel de peligrosidad: Muy alta

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, alerta a su Comunidad de una campaña muy agresiva de ataques del troyano EMOTET contra los usuarios finales. Aunque EMOTET tiene diferentes módulos y funcionalidades, su objetivo en esta ocasión está siendo el robo de credenciales bancarias pero, por su funcionamiento, no se descarta que pudiera cambiar su finalidad.

La campaña comenzó a mediados de septiembre y se distribuye a través de correos electrónicos que tienen un documento ofimático (Word) con macros que, al ser activadas, infectan el equipo. Los correos electrónicos suelen llevar algún asunto genérico para evitar ser sospechoso: “Propuesta”, “Respuesta”, “Privacidad” o “Nueva Plantilla”.


Sistemas afectados

Cualquier versión de Microsoft Windows.


Medidas de prevención

Para prevenir la infección para esta campaña concreta se pueden seguir las siguientes recomendaciones:

Instalación de la herramienta EMOTET stopper disponible en todos los equipos Windows a proteger disponible desde el siguiente enlace: http://ccn-cert.net/emotet2019.
Se deberán habilitar los mecanismos necesarios para que se ejecute tras cada reinicio.
Dado que el vector principal de infección de esta campaña de EMOTET es el correo electrónico, recomendamos revisar la Guía de Buenas Prácticas del CCN-CERT sobre dicha temática: http://ccn-cert.net/bpmail.
Durante la infección EMOTET emplea la ejecución de macros en Microsoft Word. Se recomienda deshabilitar dicha funcionalidad como principal medida de prevención.
De la misma manera se recomienda deshabilitar Powershell en aquellos equipos en los que no sea necesaria la ejecución de comandos en dicho lenguaje.
El CCN-CERT ha recopilado en 3 listas negras los indicadores que permiten la detección y bloqueo de esta campaña: listas de IP, dominios y hashes de las muestras empleadas. Pueden descargar dichas listas aquí: http://ccn-cert.net/emotet-ioc.
EMOTET puede desplegar ransomware en última instancia sobre los equipos infectados, concretamente se ha observado la familia Ryuk de ransomware. Actualmente no existe forma de descifrar los ficheros afectados por esta familia. Recomendamos la lectura de la Guía de Buenas Prácticas sobre Ransomware que el CCN-CERT ha elaborado: http://ccn-cert.net/bpransomware.

Mantener el Sistema Operativo y el antivirus actualizado.


Medidas de detección

Para contrarrestar los efectos de esta campaña, el CCN-CERT recomienda la búsqueda en la red de los Indicadores de Compromiso (IOC). Concretamente se debe realizar la búsqueda en los registros de conectividad (proxy/firewall/DNS) para comprobar si ha existido conectividad con los dominios o IP incluidos en las listas negras (http://ccn-cert.net/emotet-ioc)
Para la detección en los equipos se puede utilizar las siguiente regla YARA: http://ccn-cert.net/emotet-yara.


Medidas de mitigación

Utilizar los indicadores proporcionados para identificar qué equipos se encuentran afectados por la campaña.
Sobre dichos equipos se deberá realizar una copia de seguridad de la información, incluso si éstos han sido cifrados por ransomware y no se dispone de copia de los mismos.
Tras ello será necesaria la reinstalación completa de todos los equipos afectados, es importante realizar este paso y NO intentar limpiar los mismos (ya que la reinfección de equipos es probable si no se realiza la reinstalación).
El Directorio Activo del Dominio ha de ser reconstruido de nuevo reseteando las credenciales de todos los usuarios.

Referencias complementarias:

CSIRTCV
ABUSE.CH
CCN-CERT BP MAIL
CCN-CERT BP Ransomware
Basque Cybersecurity Cent

FUENTE: CCN-CERT y http://www.ciudadrodrigo.net/2019/10/07/la-femp-informa-los-ayuntamientos-de-una-alerta-informatica-del-troyano-emotet/