Emotet es una variedad de malware y una operación de ciberdelito que se cree tiene su sede en Ucrania . [1] El malware, también conocido como Heodo , se detectó por primera vez en 2014 y se consideró una de las amenazas más frecuentes de la década. [2] [3] [4] En 2021, los servidores utilizados para Emotet se interrumpieron a través de una acción policial global en Alemania y Ucrania y se pusieron bajo el control de las fuerzas del orden. [4]
Las primeras versiones del malware Emotet funcionaban como un troyano bancario destinado a robar las credenciales bancarias de los hosts infectados. A lo largo de 2016 y 2017, los operadores de Emotet, a veces conocidos como Mealybug , actualizaron el troyano y lo reconfiguraron para que funcione principalmente como un "cargador", un tipo de malware que obtiene acceso a un sistema y luego permite a sus operadores descargar cargas útiles adicionales. [5] Las cargas útiles de la segunda etapa pueden ser cualquier tipo de código ejecutable, desde los propios módulos de Emotet hasta el malware desarrollado por otras bandas de delitos informáticos.
La infección inicial de los sistemas de destino a menudo se produce a través de un virus de macro en un archivo adjunto de correo electrónico . El correo electrónico infectado es una respuesta de apariencia legítima a un mensaje anterior enviado por la víctima. [6]
Está ampliamente documentado que los autores de Emotet han utilizado el malware para crear una botnet de computadoras infectadas a las que venden acceso en un modelo de infraestructura como servicio (IaaS), denominado en la comunidad de ciberseguridad como MaaS (Malware-as -a-Service), el delito cibernético-as-a-Service (CaaS), o software de actividades ilegales . [7] Emotet es conocido por alquilar acceso a computadoras infectadas para operaciones de ransomware , como la banda Ryuk . [8]
En septiembre de 2019, la operación Emotet se ejecutó sobre tres redes de bots independientes llamadas Época 1, Época 2 y Época 3. [9]
En julio de 2020, las campañas de Emotet se detectaron a nivel mundial, infectando a sus víctimas con TrickBot y Qbot , que se utilizan para robar credenciales bancarias y propagarse dentro de las redes. Algunas de las campañas de malspam contenían documentos maliciosos con nombres como "form.doc" o "invoice.doc". Según los investigadores de seguridad, el documento malicioso lanza un script de PowerShell para extraer la carga útil de Emotet de sitios web maliciosos y máquinas infectadas. [10]