Tras un breve parón en su distribución, desde octubre de 2020, Emotet ha vuelto a ganar protagonismo con una campaña de más de 100.000 mensajes en castellano, inglés, alemán, italiano y chino dirigidos a distintas industrias, como la manufacturera, la tecnológica y la energética.
“Es notable que Emotet haya vuelto a la actividad ahora, a solo unos días de la celebración de la Navidad, ya que habitualmente cesa sus operaciones desde el 24 de diciembre hasta principios de enero, por lo que en esta ocasión la campaña podría ser increíblemente corta e inusual para ellos”, comenta Sherrod DeGrippo, directora sénior del Equipo de Investigación y Detección de Proofpoint.
Desde el punto de vista del volumen de actividad, habitualmente se detectan cientos de miles de muestras de Emotet al día durante las campañas, y las cifras registradas en su reaparición esta semana apuntan en esa dirección. Los análisis iniciales de Proofpoint sobre esta nueva campaña han revelado que el código de la amenaza apenas presenta pequeños cambios, pero la compañía sigue investigando hasta qué punto se ha actualizado. Los cambios de código son comunes tras un parón significativo en la actividad, y suelen indicar que el grupo de autores detrás de la amenaza permanece activo durante los parones para mejorar su infraestructura.
Si centramos la mirada en los ganchos que está utilizando Emotet en su campaña de regreso, se observa que el principal es el secuestro de conversaciones, lo cual significa que cada email está compuesto por un correo real robado.
Aunque históricamente Emotet ha contado con un módulo de robo de correos de otras víctimas, es difícil decir que es ahí donde se han origina, ya que el equipo de Proofpoint ha constatado que los correos robados han sido utilizados por diferentes autores a lo largo del tiempo.
“Emotet es conocida como una de las amenazas más disruptivas del mundo, y su vuelta en un momento en el que habitualmente no está activo es muy llamativa. Como ha sido siempre un primer paso para el despliegue de otros troyanos bancarios, es crítico que las organizaciones estén al tanto de su vuelta”, concluye DeGrippo.
Finalmente, desde un punto de vista de mitigación de la campaña, Proofpoint recomienda a las organizaciones utilizar un gateway de correo seguro, que incorpore un software antimalware efectivo, para asegurar que este tipo de amenazas no llega a los buzones de entrada de sus usuarios. Adicionalmente, es crucial poner en marcha un fuerte programa de educación en ciberseguridad que refuerce el conocimiento sobre los riesgos que entrañan los enlaces y los archivos adjuntos en este tipo de mensajes.