Sugerencias para frenar la infección del Emotet

Abiertos a considerar todas las posibilidades para evitar la infección del maldito malware, que sigue proliferando con nuevas variantes diarias (como puede verse en las muestras que pasamos a controlar con el ELISTARA de hoy), ofrecemos el artículo publicado por el CCN-CERT para lo que pueda servir a los usuarios que nos leen:

 

 

CCN-CERT AL 06/19 Campaña troyano EMOTET

ALERTA

Campaña troyano EMOTET

Nivel de peligrosidad: Muy alta

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, alerta a su Comunidad de una campaña muy agresiva de ataques del troyano EMOTET contra los usuarios finales. Aunque EMOTET tiene diferentes módulos y funcionalidades, su objetivo en esta ocasión está siendo el robo de credenciales bancarias pero, por su funcionamiento, no se descarta que pudiera cambiar su finalidad.

La campaña comenzó a mediados de septiembre y se distribuye a través de correos electrónicos que tienen un documento ofimático (Word) con macros que, al ser activadas, infectan el equipo. Los correos electrónicos suelen llevar algún asunto genérico para evitar ser sospechoso: “Propuesta”, “Respuesta”, “Privacidad” o “Nueva Plantilla”.

Sistemas afectados

Cualquier versión de Microsoft Windows.

Medidas de prevención

Para prevenir la infección para esta campaña concreta se pueden seguir las siguientes recomendaciones:

Instalación de la herramienta EMOTET-stopper en todos los equipos Windows a proteger, disponible desde el siguiente enlace: http://ccn-cert.net/emotet2019
Se deberán habilitar los mecanismos necesarios para que se ejecute tras cada reinicio.
En caso de que el Antivirus o Sistema Operativo detecten la herramienta como código dañino, se deberá excluir para evitar su eliminación.
La herramienta se ejecuta en segundo plano por lo que solo se verá desde el Administrador de tareas.
Dado que el vector principal de infección de esta campaña de EMOTET es el correo electrónico, recomendamos revisar la Guía de Buenas Prácticas del CCN-CERT sobre dicha temática: http://ccn-cert.net/bpmail
Dado que el vector principal de infección de esta campaña de EMOTET es el correo electrónico, recomendamos revisar la Guía de Buenas Prácticas del CCN-CERT sobre dicha temática:
De la misma manera se recomienda deshabilitar Powershell en aquellos equipos en los que no sea necesaria la ejecución de comandos en dicho lenguaje.
El CCN-CERT ha recopilado en 3 listas negras los indicadores que permiten la detección y bloqueo de gran parte de esta campaña: listas de IP, dominios y hashes de las muestras empleadas. Pueden descargar dichas listas aquí: http://ccn-cert.net/emotet-ioc
EMOTET puede desplegar el troyano bancario Trickbot para robo información, seguido en última instancia del ransomware Ryuk sobre los equipos infectados. Actualmente no existe forma de descifrar los ficheros afectados por esta familia. Recomendamos la lectura de la Guía de Buenas Prácticas sobre Ransomware que el CCN-CERT ha elaborado: http://ccn-cert.net/bpransomware
Mantener el Sistema Operativo, el antivirus actualizado y disponer de copias de seguridad offline (sin conexión con la red).

Medidas de detección

Para contrarrestar los efectos de esta campaña, el CCN-CERT recomienda la búsqueda en la red de los Indicadores de Compromiso (IOC). Concretamente se debe realizar la búsqueda en los registros de conectividad (proxy/firewall/DNS) para comprobar si ha existido conectividad con los dominios o IP incluidos en las listas negras (http://ccn-cert.net/emotet-ioc)
Para la detección en los equipos se puede utilizar las siguiente regla YARA: http://ccn-cert.net/emotet-yara

Medidas de mitigación

Utilizar los indicadores proporcionados para identificar qué equipos se encuentran afectados por la campaña.
Sobre dichos equipos se deberá realizar una copia de seguridad de la información, incluso si éstos han sido cifrados por ransomware y no se dispone de copia de los mismos. En caso de tener copia de seguridad, se recomienda que tome medidas necesarias para que no sea comprometida. Por ejemplo, en caso de disponer de copia offline, haga una copia de la misma antes intentar la restauración al conectarla a los sistemas afectados.
Tras ello será necesaria la reinstalación completa de todos los equipos afectados, es importante realizar este paso y NO intentar limpiar los mismos (ya que la reinfección de equipos es probable si no se realiza la reinstalación).
El Directorio Activo del Dominio ha de ser reconstruido de nuevo reseteando las credenciales de todos los usuarios.

Ver información original al respecto en Fuente>

___________

 

Ver la última muestra recibida al respecto y los pocos AV que inicialmente la controlaban hace una hora >

 

Aunque mas tarde volveremos a publicar el control sobre la misma variante, en la seguridad de que serán muchos mas AV los que la controlarán…

 

saludos

ms, 4-11-2019

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies