El pasado 17 de setiembre, se detectó el inicio de una nueva campaña de malware, conocido como Emotet, cuya actividad se había reducido en los últimos meses. 

Emotet es un troyano bancario que surgió en 2014 y, aunque en sus versiones iniciales se limitaba a obtener información confidencial como datos bancarios y agendas de contactos, ha ido evolucionando e incluye técnicas de propagación y evasión de los sistemas de protección, sirviendo como puerta de entrada para otros tipos de software maliciosos. 

Una vez que infecta el sistema, Emotet descarga otras familias de malware como Trickbot o Ryuk, empleando este último para cifrar los ficheros y solicitar un pago a modo de rescate para recuperarlos.

A través del correo 

Este virus se propaga a través del correo electrónico, enviando emails con enlaces o ficheros maliciosos. En lo que respecta a esta campaña, alertan de que está resultando «especialmente agresiva» en cuanto al volumen de correos que propagan la amenaza, aunque desde el Basque Cibersecurity Centre (BCSC) apuntan a que no está teniendo un impacto masivo porque las medidas habituales de protección permiten estar a salvo de la misma y requiere de la interacción de los usuarios para infectar los sistemas e incluso afectar a una red de dispositivos y a servidores.  

Este malware se está propagando de manera masiva, si bien afirman que la campaña va especialmente dirigida a personas, empresas y entidades gubernamentales de diferentes países como Alemania, Gran Bretaña, Polonia, Italia, EEUU o el Estado español. Entre las afectadas hay también empresas e instituciones vascas. 

Los correos electrónicos están escritos en diferentes idiomas como el castellano, inglés, alemán, francés o italiano. 

Pretextos para el engaño

El malware obtiene el listado de víctimas potenciales de las agendas de contactos de los equipos ya comprometidos y emplea multitud de pretextos para tratar de engañar a los usuarios y convencerles de que accedan a los citados enlaces. 

Los pretextos más habituales son facturas y pagos, y suplantan a entidades legítimas para dotar de credibilidad a sus mensajes. 

¿Qué hacer?

Con el fin de evitar la exposición a la citada amenaza, se recomienda bloquear los correos con adjuntos que contengan macros o aquellos que incluyan la extensión ".doc", así como la ejecución de esos ficheros. 

Se recomienda asimismo no abrir correos de desconocidos o que no se hayan solicitado (eliminarlos directamente) y no responderlos en ningún caso. 

Incluso en el caso de que el mensaje provenga de contactos conocidos, hay que revisar los enlaces antes de hacer clic y desconfiar aquellos links que están cortados, es decir, en los que no se ve claramente a qué página web se va a destinar al usuario. 

También piden estar atentos a los ficheros adjuntos, aunque sean de contactos conocidos. En caso de duda, se recomienda no tocarlos. 

En caso de infección

Si el equipo resulta infectado, se recomienda aislar los sistemas afectados y restaurar los mismos con la copia de seguridad más reciente. 

Por el momento, se desconoce el método de descifrado. 

Además de recomendar la interposición de la correspondiente denuncia ante la Ertzaintza o notificarlo a la Sección Central de Delitos en Tecnologías de la Información (SCDTI), desde el BCSC piden que se les envíen las muestras detectadas para poder tomar las medidas oportunas y mitigar la propagación del malware. 

El envío debe realizarse comprimiendo las muestras en un fichero y estableciendo como contraseña la palabra «virus» para evitar que los sistemas de protección del BCSC las bloqueen. También se debe especificar en el asunto del email que se trata de muestras del malware Emotet. 

Denuncias ante la Ertzaintza

Un total de cinco entidades vascas han denunciado ante la Ertzaintza haber sido víctimas de ciberataques con el virus, según ha confirmado a mediodía de este jueves. Precisa que el comienzo de la campaña se detectó el 17 de septiembre, con el envío masivo de correos con un archivo adjunto y, al descargarlo el usuario, los ciberdelicuentes tienen acceso a su información, generalmente bancaria, y a la agenda de contactos. Para recuperarlas, piden «un rescate—, es decir, una cantidad de dinero, según ha advertido el Centro Vasco de Ciberseguridad (CVCS), que recomienda no acceder al pago.

El CVCS ha identificado ahora una segunda fase de la campaña. Los hackers, una vez que se han hecho con las agendas de contactos, llaman a esos números de teléfono haciéndose pasar por técnicos, normalmente de compañías como Microsoft, afirmando que han identificado problemas en su ordenador y les ofrecen ayuda para solucionarlo. Entonces, les piden que descarguen un programa e infectan el ordenador, para solicitar después un pago adicional.

En declaraciones a Europa Press, Asier Martínez, del Centro Vasco de Ciberseguridad, ha señalado que, hasta el momento, solo se tiene conocimiento de que se hayan presentado cinco denuncias de entidades ante la Ertzaintza en la CAV.

Pese a que en esta campaña del virus Emotet «están llegando muchos correos», ha explicado que la afección «no está siendo elevada». «Aunque a nivel mediático está teniendo repercusión, identificamos varias campañas diarias de estas, y en otras ocasiones la afectación ha sido mayor», ha apuntado.