Sugerencias para frenar la infección del Emotet
Abiertos a considerar todas las posibilidades para evitar la infección del maldito malware, que sigue proliferando con nuevas variantes diarias (como puede verse en las muestras que pasamos a controlar con el ELISTARA de hoy), ofrecemos el artículo publicado por el CCN-CERT para lo que pueda servir a los usuarios que nos leen:
CCN-CERT AL 06/19 Campaña troyano EMOTET
ALERTA
Campaña troyano EMOTET
Nivel de peligrosidad: Muy alta
El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, alerta a su Comunidad de una campaña muy agresiva de ataques del troyano EMOTET contra los usuarios finales. Aunque EMOTET tiene diferentes módulos y funcionalidades, su objetivo en esta ocasión está siendo el robo de credenciales bancarias pero, por su funcionamiento, no se descarta que pudiera cambiar su finalidad.
La campaña comenzó a mediados de septiembre y se distribuye a través de correos electrónicos que tienen un documento ofimático (Word) con macros que, al ser activadas, infectan el equipo. Los correos electrónicos suelen llevar algún asunto genérico para evitar ser sospechoso: “Propuesta”, “Respuesta”, “Privacidad” o “Nueva Plantilla”.
Sistemas afectados
Cualquier versión de Microsoft Windows.
Medidas de prevención
Para prevenir la infección para esta campaña concreta se pueden seguir las siguientes recomendaciones:
Instalación de la herramienta EMOTET-stopper en todos los equipos Windows a proteger, disponible desde el siguiente enlace: http://ccn-cert.net/emotet2019
Se deberán habilitar los mecanismos necesarios para que se ejecute tras cada reinicio.
En caso de que el Antivirus o Sistema Operativo detecten la herramienta como código dañino, se deberá excluir para evitar su eliminación.
La herramienta se ejecuta en segundo plano por lo que solo se verá desde el Administrador de tareas.
Dado que el vector principal de infección de esta campaña de EMOTET es el correo electrónico, recomendamos revisar la Guía de Buenas Prácticas del CCN-CERT sobre dicha temática: http://ccn-cert.net/bpmail
Dado que el vector principal de infección de esta campaña de EMOTET es el correo electrónico, recomendamos revisar la Guía de Buenas Prácticas del CCN-CERT sobre dicha temática:
De la misma manera se recomienda deshabilitar Powershell en aquellos equipos en los que no sea necesaria la ejecución de comandos en dicho lenguaje.
El CCN-CERT ha recopilado en 3 listas negras los indicadores que permiten la detección y bloqueo de gran parte de esta campaña: listas de IP, dominios y hashes de las muestras empleadas. Pueden descargar dichas listas aquí: http://ccn-cert.net/emotet-ioc
EMOTET puede desplegar el troyano bancario Trickbot para robo información, seguido en última instancia del ransomware Ryuk sobre los equipos infectados. Actualmente no existe forma de descifrar los ficheros afectados por esta familia. Recomendamos la lectura de la Guía de Buenas Prácticas sobre Ransomware que el CCN-CERT ha elaborado: http://ccn-cert.net/bpransomware
Mantener el Sistema Operativo, el antivirus actualizado y disponer de copias de seguridad offline (sin conexión con la red).
Medidas de detección
Para contrarrestar los efectos de esta campaña, el CCN-CERT recomienda la búsqueda en la red de los Indicadores de Compromiso (IOC). Concretamente se debe realizar la búsqueda en los registros de conectividad (proxy/firewall/DNS) para comprobar si ha existido conectividad con los dominios o IP incluidos en las listas negras (http://ccn-cert.net/emotet-ioc)
Para la detección en los equipos se puede utilizar las siguiente regla YARA: http://ccn-cert.net/emotet-yara
Medidas de mitigación
Utilizar los indicadores proporcionados para identificar qué equipos se encuentran afectados por la campaña.
Sobre dichos equipos se deberá realizar una copia de seguridad de la información, incluso si éstos han sido cifrados por ransomware y no se dispone de copia de los mismos. En caso de tener copia de seguridad, se recomienda que tome medidas necesarias para que no sea comprometida. Por ejemplo, en caso de disponer de copia offline, haga una copia de la misma antes intentar la restauración al conectarla a los sistemas afectados.
Tras ello será necesaria la reinstalación completa de todos los equipos afectados, es importante realizar este paso y NO intentar limpiar los mismos (ya que la reinfección de equipos es probable si no se realiza la reinstalación).
El Directorio Activo del Dominio ha de ser reconstruido de nuevo reseteando las credenciales de todos los usuarios.
Ver información original al respecto en Fuente>
___________
Ver la última muestra recibida al respecto __________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Los comentarios están cerrados.