Emotet evoluciona para explotar el miedo al coronavirus
Con los casos de coronavirus ahora reportados en todo el mundo, las campañas de Emotet están explotando temores legítimos para comprometer sus objetivos.
Los ciberdelincuentes están propagando por phishing el altamente peligroso troyano convertido en botnet Emotet, explotando los temores generalizados de infección por el novedoso coronavirus de Wuhan.
Los primeros informes de que los ciberdelincuentes jugaban previsiblemente con el potencial pánico popular a medida que se extendía el coronavirus surgieron a fines de enero, cuando los investigadores de Kaspersky encontraron alrededor de 10 archivos maliciosos disfrazados de legítimos que implicaban que contenían información útil sobre la amenaza del mundo real.
En realidad, los archivos, que pretendían ser archivos .pdf, .mp4 y .docx, contenían troyanos o gusanos destinados a destruir, bloquear, modificar o copiar y filtrar datos confidenciales.
La campaña Emotet actualizada surgió por primera vez dirigida a usuarios en Japón, según el servicio de inteligencia de amenazas X-Force de IBM, que descubrió las nuevas tácticas a principios de febrero. Disfrazado como un correo electrónico de un proveedor de servicios de asistencia social para discapacitados, la campaña de coronavirus de Emotet se dirigió a usuarios en varias prefecturas japonesas.
Los investigadores dijeron que esto era un alejamiento de la táctica más habitual de disfrazar a Emotet como pago o factura, pero dijeron que probablemente sería una táctica «significativamente más exitosa» dada la escala de conciencia pública de la enfermedad.
Es probable que la campaña evolucione para incorporar otros idiomas, dependiendo del impacto que el coronavirus tenga en otros países: las víctimas japonesas han sido claramente atacadas debido a su proximidad geográfica con China, dijeron.
«En los últimos años, desde que se descubrió Emotet en 2014, se ha establecido como una amenaza dominante y en constante evolución, transformándose de un destacado troyano bancario a spam modular y malware como servicio que puede transportar caídas y propagarse en la red de manera muy efectiva», dijo el vicepresidente de tecnologías de Radware, Yaniv Hoffman.
«Una de las principales habilidades de Emotet es que sigue siendo actual, y veremos campañas similares a las que aprovechan el miedo al coronavirus durante todo el año. A medida que EE. UU. entra en la temporada de impuestos, por ejemplo, Emotet se está preparando para ofrecer al público ayuda para presentar los formularios en su nombre», indicó.
«Los mensajes de correo electrónico no serán sofisticados y pueden contener un enlace para descargar archivos infectados o tendrán un archivo adjunto de un formulario W9 falso. Podemos anticipar que las campañas de malware relacionadas con la temporada de impuestos continuarán hacia la fecha de vencimiento en abril», comentó Hoffman.
La mejor manera para que los usuarios se protejan contra las amenazas que explotan el coronavirus es confiar solo en la orientación oficial del gobierno o del servicio de salud, o en servicios de noticias legítimos. En términos de TI, se aplica la guía estándar para usar programas antivirus con actualizaciones automáticas, descargar y aplicar parches y actualizaciones de software, y no abrir correos electrónicos sospechosos o no solicitados.
Hoffman de Radware dijo que las organizaciones primero deben asegurarse de tener planes de respuesta a incidentes que correspondan a amenazas como Emotet para que los equipos de seguridad puedan contener y mitigar la amenaza antes de que cause daño. La educación del usuario sobre las amenazas de correo electrónico también es vital, agregó.
Hoffman agregó que el pánico del coronavirus también podría ser una oportunidad para que los líderes de seguridad consideren implementar un enfoque de confianza cero para su postura de seguridad.
Conferencia RSA sigue en marcha
Mientras tanto, RSA ha publicado una actualización sobre el estado de su Conferencia anual RSA en San Francisco, que está programada para comenzar el 23 de febrero.
Esto se produce cuando el organismo comercial de la industria móvil, la GSMA, considera la cancelación del Mobile World Congress (MWC) 2020 después de que varios expositores, incluidos Amazon, Ericsson, LG, Nokia, Nvidia y Vodafone se retiraran del programa. Ordinariamente, más de 100.000 personas habrían asistido al MWC, muchas de China.
RSA dijo: «Creemos que es importante comunicar que había nueve compañías de China inscritas para exponer en la Conferencia RSA 2020. De esas nueve compañías, seis han cancelado debido a restricciones de viaje. Nos estamos comunicando con las tres empresas restantes para comprender mejor su situación única y actualizaremos esta comunicación con más detalles una vez que tengamos claridad adicional».
«Hasta la fecha, el número de personas que han tenido que cancelar su registro debido a restricciones de viaje es aproximadamente el 0,2% del número total de asistentes esperados. Entre las personas que han tenido que cancelar, dos estaban programadas para hablar en la Conferencia RSA 2020. Nuevamente, continuaremos monitoreando la situación y actualizaremos esta comunicación según corresponda».
“La Conferencia RSA continúa monitoreando y evaluando los nuevos desarrollos relacionados con el nuevo coronavirus originario de China. La salud y la seguridad de nuestros asistentes y expositores es nuestra principal prioridad».