Cabecera-v2-web.jpg

¿Tu correo electrónico o dominio han sido utilizados en ataques de Emotet? Descubrí cómo comprobar aquí…


Fecha: 06/10/2020

El malware Emotet, presente ya desde el año 2014 y una de las amenazas más presentes en los últimos tiempos aprovechando la pandemia del COVID-19, que ha puesto en peligro a muchos usuarios debido a su capacidad de obtener credenciales de correo e infectar dispositivos con otro malware, a través de diversas técnicas utilizadas por los ciberdelincuentes por ejemplo, correos electrónicos con archivos adjuntos maliciosos, entre otros. Por ello, en este artículo se detalla una herramienta muy útil que permite identificar si tu correo o dominio fue utilizado para las campañas de phishing de Emotet y las recomendaciones de seguridad a considerar.

Emotet, ¿qué es, y qué hace?

Es un malware que se propaga a través de correos electrónicos phishing que contienen documentos maliciosos (como Word o Excel), y en caso de abrir alguno de estos archivos, y si las macros están habilitadas o se habilitan, el malware se instala en el equipo.

En un ataque exitoso, Emotet tiene como objetivo principal obtener el acceso al correo electrónico del usuario víctima para posteriormente transmitirlo a todos los servidores controlados por el ciberdelincuente para realizar campañas de spam de apariencia más "legítima" a las potenciales siguientes víctimas.

Además, este malware también cuenta con la capacidad de actuar como puerta de entrada para otras amenazas , es decir, descargar otras variedades de malware como Trickbot, un troyano bancario diseñado para obtener la información financiera de la víctima infectando equipos y Qakbot diseñado para propagarse como un gusano, infectar a varias máquinas a la vez y al mismo tiempo obtener datos bancarios, así como también derivar en ataques de ransomware.

Para más información, vaya al siguiente artículo sobre Emotet.

¿Comprobar si mi cuenta de correo o dominio han sido utilizados para ataques de Emotet?


Una empresa de seguridad informática llamada TG SOFT lanzó una herramienta gratuita llamada Have I Been Emotet, que permite a los usuarios comprobar si una cuenta de correo electrónico o dominio ha sido atacada y/o utilizada por Emotet. El objetivo principal de esta herramienta es informar al usuario si la dirección proveída ha sido utilizada como remitente o destinatario en las campañas de spam realizadas por emotet. Cuenta en total con más de 2 millones de direcciones de correos electrónicos almacenados en una gran base de datos.

¿Cómo funciona?

El uso de esta herramienta es muy sencillo, los usuarios deben proporcionar un dominio o dirección de correo electrónico (ejemplo@dominio.extension o dominio.extension) para que la plataforma realice la comprobación e informe cuántas veces se utilizaron. Las mismas pueden ser devueltas como un remitente (falso o real) "REAL SENDER", "FAKE SENDER" o como un destinatario "RECIPIENT" o cualquier combinación de las tres anteriores. A continuación se explica brevemente el significado de estas:

  • REAL SENDER: indica que el dispositivo que utiliza la cuenta de correo electrónico proporcionado ha sido comprometido y utilizado para las campañas de spam de Emotet.
  • FAKE SENDER: indica que la dirección de correo electrónico proporcionada ha sido comprometida y utilizada para las campañas de spam de Emotet.
  • RECIPIENT: indica que la dirección de correo proporcionada ha sido el destinatario de un correo electrónico spam de Emotet.

Comprobá si tu correo electrónico o dominio fueron utilizados para ataques de Emotet en el siguiente enlace: Have I Been Emotet

Acciones preventivas:

  • Tenga cuidado al abrir mensajes de correos electrónicos, redes sociales, sms con enlaces o adjuntos sospechosos, tanto si vienen de remitentes conocidos como desconocidos. Antes, asegúrese de que el remitente le está enviando un adjunto. Para reconocer este tipo de fraudes diríjase al siguiente artículo.
  • En una organización, se recomienda bloquear los servidores conocidos de la botnet Emotet mediante reglas del firewall, la lista de servidores se encuentra disponible en el siguiente enlace
  • Nunca habilite un macro en un documento sospechoso a no ser que se esté totalmente seguro de su legitimidad.
  • Instale soluciones de antivirus/firewall y manténgalo actualizado.
  • Mantenga el sistema operativo, sistemas o aplicaciones utilizadas con los últimos parches de seguridad aplicados.
  • Manténgase informado sobre las amenazas y las técnicas utilizadas por los ciberdelincuentes, así también cómo protegerse de ellas.

Mi cuenta ha sido afectada ¿que hago?

  • Cambie todas las contraseñas utilizadas en el equipo, incluyendo las contraseñas de las cuentas de correo electrónico y contraseñas almacenadas en el navegador instalado en el equipo.
  • Realice un análisis del sistema con la herramienta EmoCheck, para más información sobre cómo hacerlo consulte el siguiente enlace. Una vez confirmada la infección, siga los siguientes pasos:
    • Inicie el administrador de tareas de Windows, y seleccione el “ID de proceso”, que se muestra en el resultado de la ejecución de la herramienta y por último en la pestaña Detalles, seleccione Finalizar tarea.
    • Elimine el archivo malicioso, para ello se debe dirigir al directorio que se muestra en el resultado de la ejecución de la herramienta, localizar el archivo .exe malicioso y eliminarlo.
  • Una vez realizados los pasos de desinfección se debe volver a realizar un análisis con la herramienta para confirmar que el malware ha sido eliminado por completo.
  • Escanee el equipo con un software antivirus para asegurar que no se hayan descargado e instalado otras variantes de malware.
  • En caso de que el equipo se encuentre en una red corporativa, se recomienda que:
    • Aisle el equipo, para así evitar la propagación de Emotet.
    • Monitoree la red a la cual pertenecía ese equipo en busca de otros equipos que podrían estar infectados.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11