Europol ha anunciado la interrupción de la botnet Emotet, una de los malware más prevalentes en los últimos años, tras una operación a gran escala que también involucró a varias agencias responsables del cumplimiento de la ley en Europa y América del Norte.
Autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania se han unido para llevar adelante una operación que implicó obtener el control de la infraestructura de la botnet y derribarla "desde adentro", según explicó la Agencia de aplicación de la ley de la Unión Europea (UE).
“Las máquinas de las víctimas infectadas han sido redirigidas hacia esta infraestructura controlada por las fuerzas de seguridad. Se trata de un enfoque nuevo y único para interrumpir de forma eficaz las actividades de este facilitador del cibercrimen”, fue como lo expresó Europol. La agencia coordinó el esfuerzo junto con Eurojust, la agencia judicial de la Unión Europea.
En total, unos 700 servidores de comando y control (C&C) fueron desconectados, según la Agencia Nacional del Crimen del Reino Unido. Los operadores de Emotet utilizaron los servidores para reclutar a la fuerza las computadoras comprometidas, lanzar nuevas campañas maliciosas y mejorar la resistencia de su infraestructura, entre otras cosas.
Bye-bye botnets👋 Huge global operation brings down the world's most dangerous malware.
Investigators have taken control of the Emotet botnet, the most resilient malware in the wild.
Get the full story: https://t.co/NMrBqmhMIf pic.twitter.com/K28A6ixxuM
— Europol (@Europol) January 27, 2021
Dos de los tres servidores principales de la botnet estaban ubicados en los Países Bajos, dijo la policía holandesa, que apodó la interrupción como "Operación LadyBird". Se detectaron más de un millón de sistemas comprometidos en todo el mundo, y ahora Emotet se eliminará mediante la descarga automática de una actualización de software de los servidores operados por las autoridades de los países bajos.
La investigación también descubrió una base de datos de 600.000 direcciones de correo electrónico, nombres de usuario y contraseñas robadas por los operadores de la botnet, y la policía holandesa lanzó una página en la que las personas pueden verificar si su computadora también pudo haber sido víctima de la botnet.
Mientras tanto, la policía en Ucrania publicó un video en el que muestra un allanamiento en el hogar de un individuo sospechoso de ser un operador de Emotet. Según Reuters, las autoridades ucranianas aseguran que los daños provocados por Emotet alcanzan la cifra de 2.5oo millones de dólares.
Una botnet bien aceitada
Visto por primera vez en 2014 como un troyano bancario, Emotet pronto se estableció como un actor destacado en la economía del ciberdelito como servicio, evolucionando hasta convertirse en un malware que era utilizado para distribuir distintos tipos de amenazas y causando un daño incalculable a las víctimas. Gracias a su modularidad, la botnet generalmente se alquilaba a otros delincuentes que buscaban implantar en las máquinas de las víctimas payloads adicionales, incluidos ransomware y troyanos bancarios. A lo largo de los años, estas amenazas fueron variando e incluyeron a Trickbot, una botnet que se interrumpió en octubre del año pasado.
Emotet generalmente llega bajo la forma de un correo electrónico de apariencia inofensiva, pero que en realidad contiene un archivo adjunto o enlace malicioso. En estos correos utilizan distintos tipos de señuelos convincentes con el objetivo de engañar a las víctimas para que abran o enlace que oculta el malware. Después de obtener el acceso inicial en una red, también tiene la habilidad propia de un gusano informático que le permite propagarse a otras computadoras dentro de la red de una organización.
La botnet también es conocida por registrar importantes picos de actividad a través de campañas de spam que son seguidos por períodos de poca actividad o inactividad durante meses. Entonces, podría ser tentador pensar que la "bestia" nunca volverá a despertar después de una operación de esta escala, pero no debemos perder de vista el hecho de que derribar una amenaza de tal magnitud es una tarea extremadamente compleja.
Por otra parte, su interrupción no es de ninguna manera una razón para bajar la guardia.
Lecturas relacionadas: Argentina, Brasil y México: los países más afectados por Emotet en Latinoamérica en 2020