Emotet afecta a más de un 15% de las empresas españolas

Emotet afecta a más de un 15% de las empresas españolas

Hay familias de malware que, por diversas razones, están llamadas a la longevidad, y en los últimos tiempos estamos comprobando que Emotet es, sin duda alguna, una de ellas. En este caso cabe poca duda de que, principalmente, subsiste porque sus responsables se encargan de mantenerlo en forma y, a la vez, lo integran en acciones combinadas en las que también emplean otras herramientas, como Qbot y TrickBot, todos ellos operados por el mismo grupo y que, como se ha confirmado en los últimos tiempos, comparten infraestructura, principalmente servidores de comando y control.

Hace solo un par de días nos hacíamos eco de la alerta emitida por la agencia de ciberseguridad francesa, en la que avisaba de una campaña protagonizada por Emotet, una acción dirigida tanto al sector privado como a entidades públicas y que emplea este malware como primera fase. Una vez que Emotet ha «aterrizado» en algún sistema, procede a descargar diversas variantes de Qbot y TrickBot, como Conti y ProLock. La ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) afirmaba «Se debe prestar especial atención porque Emotet ahora se usa para implementar otros códigos maliciosos que pueden tener un fuerte impacto en la actividad de las víctimas».

La empresa de ciberseguridad Check Point lleva ya bastante tiempo siendo muy consciente de la importancia real de Emotet en el panorama actual de la seguridad, y hace solo unas semanas ya nos alertaba de la última evolución de Qbot, al que a su vez pudimos conectar con Emotet hace un par de meses, gracias al descubrimiento de Cosmic Lynx, algo que supuso una cierta sorpresa, porque hasta ese momento parecía que este malware había estado bastante inactivo desde principios de año.

Y hoy sabemos, de nuevo gracias a Check Point y su informe global de amenazas, que la incidencia de Emotet este pasado mes de agosto en España ha sido realmente considerable, pues ha llegado a afectar (en diferentes grados, eso sí) a un 17,18% de las compañías (casi un 4% más que la media global), siendo así el malware más «avistado» este mes pasado. Asimismo, Qbot se ha situado por primera vez entre los diez primeros puestos del índice de malware, ocupando la décima posición.

Como ya comentábamos anteriormente, en la actualidad TA542 está empleando Emotet, que en sus orígenes fue un troyano bancario, como primer paso en ataques multifase, en los que se posteriormente se entregan versiones evolucionadas sobre todo de Qbot. Los investigadores de Check Point encontraron varias campañas basadas en este esquema entre marzo y agosto de 2020, que incluían la distribución de este virus informático a través del troyano Emotet. La última de estas campañas impactó al 5% de las empresas a nivel mundial en julio de 2020.

«Los ciberdelincuentes están siempre buscando maneras de actualizar el malware y claramente han estado invirtiendo esfuerzos en el desarrollo de Qbot para el robo a gran escala de datos de empresas y usuarios. Hemos observado campañas activas de malspam que han distribuido Qbot directamente, así como el uso de terceras infraestructuras como la de Emotet, para extender la amenaza aún más”, señala Maya Horowitz, directora de Inteligencia e Investigación de Amenazas, Productos en Check Point.