Emotet es una familia de malware activa desde 2014, operada por un grupo de ciberdelincuentes conocido como Mealybug o TA542 y que, aunque comenzó como un troyano bancario, más tarde evolucionó hasta convertirse en una botnet que se convirtió en una de las amenazas más extendidas en todo el mundo.
En enero de 2021, Emotet fue objeto de un desmantelamiento limitado como resultado de un esfuerzo de colaboración internacional de ocho países, coordinado por Eurojust y Europol, pero reapareció en noviembre de 2021 lanzando múltiples campañas de spam con un abrupto final en abril de 2023. Los datos de ESET Research, indican que la mayoría de los ataques detectados en 2022-2023 iban dirigidos a Japón (casi la mitad de ellos), Italia, España, México y Sudáfrica.
Tras explicar que Emotet se propaga a través de correos electrónicos de spam y puede extraer información de ordenadores infectados y distribuir malware de terceros en ellos, dice Jakub Kaloč, investigador de ESET que los operadores de Emotet no son muy exigentes con sus objetivos, “ya que instalan sus programas maliciosos en sistemas pertenecientes tanto a particulares como a empresas y grandes organizaciones”.
A finales de 2021 y hasta mediados de 2022, Emotet se propagó principalmente a través de documentos maliciosos de MS Word y MS Excel con macros VBA incrustadas. Pero en julio de 2022, Microsoft cambió las reglas del juego al desactivar las macros VBA en los documentos obtenidos de Internet. La desactivación del principal vector de ataque hizo que sus operadores buscaran nuevas formas de comprometer sus objetivos. Explica Kaloč que Mealybug empezó a experimentar con archivos LNK y XLL maliciosos y que en 2023, llevaron a cabo tres campañas distintas de malspam, cada una de ellas probando una vía de intrusión y una técnica de ingeniería social ligeramente diferentes; “el tamaño cada vez menor de los ataques y los constantes cambios en el planteamiento pueden sugerir insatisfacción con los resultados”, dice Kaloč.
Más tarde, Emotet incrustó un señuelo en MS OneNote que funcionó. La botnet cambió su esquema criptográfico e implementó múltiples ofuscaciones nuevas para proteger sus módulos. Los operadores de Emotet han invertido grandes esfuerzos en evitar la vigilancia y el rastreo de su botnet desde que regresaron. Además, implementaron múltiples módulos nuevos y mejoraron los existentes para seguir siendo rentables.
Según la investigación y telemetría de ESET, las botnets Emotet han estado tranquilas desde principios de abril de 2023, muy probablemente debido al hallazgo de un nuevo vector de ataque efectivo. La mayoría de los ataques detectados por ESET desde enero de 2022 hasta hoy iban dirigidos a Japón (43%), Italia (13%), España (5%), México (5%) y Sudáfrica (4%).
