Con el fin alertar a las víctimas de la botnet Emotet, el Buró Federal de Investigaciones (FBI) de los Estados Unidos compartió con el sitio para el monitoreo de brechas de datos, Have I Been Pwned (HBIP), más de 4.3 millones de direcciones de correo electrónico de usuarios y empresas que fueron recolectadas por Emotet.
“En total se proporcionaron 4.324.770 direcciones de correo electrónico que abarcan una gran cantidad de países y dominios. Estas direcciones provienen de dos grupos de datos separados que fueron obtenidos por las agencias durante el proceso de desarticulación de Emotet”, dijo el fundador de HBIP, Troy Hunt, en una publicación en su blog.
Esta acción se produce inmediatamente después de una operación que tuvo lugar el domingo 25 de abril en la que las fuerzas de seguridad lanzaron una actualización dirigida a todos los sistemas comprometidos por Emotet para desinstalar el malware. Esto ocurrió luego de que en enero pasado autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania unieran fuerzas para dar de baja la botnet Emotet al obtener el control de su infraestructura y desarticularla desde adentro. Se desconectaron unos 700 servidores de comando y control.
A raíz de la operación, el FBI contactó a Hunt para consultar si había una forma eficaz de alertar a usuarios y empresas que Emotet había comprometido sus sistemas y cuentas.
Quizás te interese: Cómo saber si la contraseña que utilizas fue filtrada en una brecha
El FBI compartió con HIBP información de inicios de sesión que Emotet había guardado para enviar spam a través de los proveedores de correo electrónico de las víctimas, junto con las credenciales web recolectadas de navegadores en los cuales se habían guardado las claves de acceso para acelerar el proceso de inicio de sesión.
Si bien se evaluó la posibilidad de que estos datos sean tratados como dos brechas separadas para que puedan ser identificadas por las víctimas, Hunt dijo que finalmente decidieron cargar los datos a Have I Been Pwned como una sola brecha ya que la recomendación final es muy similar en ambos casos. Sin embargo, los usuarios que quieran comprobar si fueron afectados por Emotet no podrán hacerlo utilizando la barra de búsqueda en la página de inicio de HIBP. Esto se debe al hecho de que el incidente ha sido clasificado como sensible por Hunt para que los resultados no sean públicos y que, por lo tanto, los usuarios afectados por Emotet no se conviertan en blancos de futuros ataques, explicó Hunt.
“Para verificar si han sido afectados por una brecha de datos sensible las consultas deberán realizarse a través de cuentas de correo que pasen por el proceso de verificación o a través de la opción de búsqueda por dominio. Este proceso se hace a través del sistema de notificación que implica enviar un correo electrónico de verificación a la dirección con un enlace único. Cuando se sigue ese enlace, el propietario de la dirección verá todas las filtraciones de datos en las que estuvo involucrado, incluidas las confidenciales”, afirma la sección de preguntas frecuentes del sitio.
Si la búsqueda revela que has sido afectado por Emotet, Hunt sugiere realizar los siguientes pasos para mitigar el impacto:
- Cambiar la contraseña de tu cuenta de correo electrónico y las contraseñas de cualquier servicio que esté conectado a esa cuenta.
- Mantener los dispositivos y la solución de seguridad que utilizas parcheada y actualizada.
- Los administradores que están a cargo de sistemas con múltiples usuarios deben usar las reglas YARA publicadas por DFN-CERT.