Salir del pantano de las medidas: una guía para el autodiagnóstico Emotet.

Sabía dónde

Los expertos en seguridad dedican un gran esfuerzo a entender las infecciones con Emotet ya derivar medidas de protección de las mismas. Sería más importante aplicar medidas eficaces antes de que se produzca un incidente. La pregunta “¿Cómo somos de susceptibles?” ayuda a la identificación específica de las vulnerabilidades. Un autodiagnóstico trae luz a la oscuridad aquí. 

A la hora de implantar una seguridad informática holística es elemental saber por qué son necesarias las medidas. Saber por qué la propia organización es susceptible o no de sufrir un ataque emotivo hace que el nivel de seguridad sea más medible y favorece la comprensión y aceptación de las medidas resultantes. 

Emotet es actual, relevante y peligroso. Así lo  demuestra  no solo la larga trayectoria de este malware desde 2014, sino también los numerosos casos ocurridos en el  pasado reciente. Los  objetivos son muchos ya menudo provocan un colapso total de la infraestructura informática durante días o semanas. 

Copiado del análisis de riesgos

Si se ignoran las señales de advertencia cruciales, todo está rápidamente en juego. Por lo tanto, la dirección de TI, la seguridad y las operaciones deben plantearse continuamente la pregunta: ¿Hasta qué punto es nuestra organización susceptible de sufrir un ataque emotet , y qué medidas concretas debemos tomar para limitar el potencial de daño de forma comedida ? Los autores, cuya empresa ya ha realizado  con éxito  perspicacia el  autotest Emotet , utilizan como base de su enfoque un modelo modificado de análisis de riesgos, por lo que el test se basa en los siguientes pasos indicados en la (fig.1). El primer paso, la identificación del área de análisis, significa aquí el registro de las partes de la infraestructura informática que son atacadas directamente por  Emotet  y las que están conectadas a ella. La puerta de entrada más frecuente es el correo de phishing. Esto significa que la infraestructura de correo electrónico está directamente afectada y el área de clientes y los servidores internos están directamente afectados. 

Para definir claramente el ámbito de análisis, primero hay que responder a las tres preguntas de la (fig 2) por orden. Según la Oficina Federal Alemana de Seguridad de la Información (BSI), los objetivos de los creadores directos de  Emotet  son puramente financieros. Se consiguen gracias a que “los desarrolladores de  Emotet  subarriendan su software e infraestructura a terceros”.

 

Más emocionantes son los objetivos de los inquilinos de  Emotet . La BSI también asume aquí la ciberdelincuencia, no el espionaje. Eso significa que se trata exclusivamente de dinero. Esta afirmación también coincide con las observaciones de los casos conocidos de  Emotet  en el pasado. Por lo general, los  Emotet  se utilizació Como un Llamado  servidor de ensayo  para Más malware, Lo Que SIGNIFICA Que comprueba si es seguro recargar El Nuevo software malicioso y LUEGO lo Hace. Lo más frecuente es oír hablar de la  combinación  Emotet-Trickbot-Ryuk

Sin embargo, también aparecen nombres como  Ursnif ZeuS  e  IcedID . ¿De qué estamos hablando? Trickbot Ursnif ZeuS  e  IcedID  entran en la categoría de troyanos  bancarios. Ryuk  es un  ransomware clásico. Así que se trata de comprometer y abusar de las cuentas bancarias y la extorsión. El chantaje, como se conoce, puede seguir al cifrado de datos oa la amenaza de publicar los datos en los sistemas comprometidos. Así, aunque el espionaje no sea un objetivo real de los atacantes, sigue existiendo el riesgo de que los datos caigan en otras manos no autorizadas. En resumen, el objetivo principal es el dinero. Los objetivos secundarios resultantes son recopilar datos de acceso,  apoderarse de las  sesiones bancarias en línea, cifrar y recopilar datos confidenciales, e infectar tantos otros sistemas como sea posible.

¿Cómo funciona el malware?

Una revisión exhaustiva de la funcionalidad de Emotet y compañía, iría más allá del alcance de este artículo. Sin embargo, existen numerosas fuentes y trabajos de investigación sobre este tema. Sin embargo, en lo que respecta a Emotet, es importante tener en cuenta una característica especial: El núcleo del software se alquila y puede combinarse muy fácilmente con otros programas maliciosos. La recomendación es hacer su propia investigación al principio del autoexamen. Emotet es modular. Dado que el software puede combinarse tan fácilmente con otros programas maliciosos, es esencial recopilar información sobre los programas maliciosos que se recargan con frecuencia. Los análisis de los investigadores de malware y los informes de incidentes disponibles de forma gratuita han demostrado ser fuentes valiosas.  

Definir el área de análisis

Para concluir el área de análisis a partir de los resultados de la investigación, resulta adecuado un medio sencillo: ordenar y trabajar a través del conjunto de herramientas Emotet según los pasos de la cadena de muerte (véase el cuadro “La cadena de muerte cibernética”). A lo largo del esquema, uno puede inferir potenciales vectores de ataque dentro de su organización basándose en el conocimiento de las tres primeras fases de Emotet (Reconocimiento, Militarización y Entrega). En el momento de escribir este artículo, el único vector de ataque relevante y utilizado de Emotet era el correo de phishing con un documento . doc adjunto. 

A continuación, se mencionan algunas funciones de Emotet y compañía a modo de ilustración. Pueden servir de referencia para su propia investigación, pero no la sustituyen. Sobre la base de los vectores de ataque identificados, ahora se puede inferir toda la zona de análisis a lo largo de la cadena de muerte. El cuadro “Definición del área de análisis” ilustra cómo puede ser esa visión general. Es especialmente importante incluir también los sistemas afectados indirectamente en la zona de análisis, ya que Emotet y compañía realizan movimientos laterales de forma muy intensa. Esto significa que el malware se mueve más lejos en la red y busca objetivos que merezcan la pena una vez que ha penetrado. Parte del área de análisis son, por tanto, -a partir del sistema cliente al que presumiblemente llega por primera vez un correo de phishing- todos los diferentes sistemas de esta red, las transiciones de la red y, al menos directamente desde esta red, otras redes alcanzables. 

 Este rastreo sucesivo puede volverse rápidamente confuso, por lo que se corre el riesgo de perder de vista lo esencial. En cuanto a la condición de terminación, cabe preguntarse: ¿en qué momento tendría el atacante suficiente influencia para lograr sus objetivos o causar un daño significativo? A más tardar, este umbral se alcanzaría probablemente con el compromiso de un controlador de dominio. 

Un balance provisional

 ¿Qué se ha conseguido hasta ahora? La respuesta es esencial para la siguiente parte principal del autotest. Hasta ahora, está claro qué objetivos persigue el atacante, qué técnicas se están utilizando para lograr los objetivos y qué áreas de la infraestructura de TI podrían verse afectadas por una infección. Ahora es el momento de comparar el área de análisis identificada con el conjunto de herramientas del atacante e identificar posibles vulnerabilidades o riesgos. Para ilustrar esto, utilizaremos el ejemplo de la infraestructura de correo electrónico para identificar los riesgos. El proceso descrito es entonces transferible a las otras partes identificadas del área de análisis. En primer lugar, hay que desglosar la zona considerada. Hay que determinar qué sistemas forman parte de la infraestructura de correo electrónico. A continuación, se comprueban los puntos débiles y los riesgos. La palabra clave aquí es integridad. Especialmente con los sistemas de primera línea, también hay que prestar atención a casos especiales como los servidores de correo que ya no se utilizan o los servidores proxy de correo interno, etcétera. ¿Cuántos servidores de correo se utilizan realmente? ¿Son diferentes? Los sistemas típicos podrían ser las pasarelas de correo electrónico, los sistemas antivirus específicos para el correo electrónico, los servidores de correo electrónico internos y externos, los servidores Exchange o los clientes de correo electrónico locales, por ejemplo, Outlook. 

Estos son los sistemas que hay que investigar. Por otro lado, existe el Emotet ToolKit para la ruta del correo electrónico. A partir de los casos conocidos, surge hasta ahora una imagen de varias capas, pero en algunos puntos consistente: 1. el contenido del correo electrónico de phishing es engañosamente genuino y se relaciona con eventos y circunstancias actuales. 2. los correos electrónicos de los últimos 180 días se copian de los sistemas comprometidos, lo que permite a los autores de los correos copiados responder a las conversaciones existentes y hacer referencia a su contenido. La cabecera del correo FROM suele estar ofuscada cuando los correos se envían desde otras cuentas comprometidas (“,conocido, Marc kompromittierter.account@example.com”). En varias formas, se incluye un documento doc con macros como archivo adjunto (adjunto directo, empaquetado en un archivo zip, parcialmente encriptado, o un enlace de descarga al documento). 

Asignar los riesgos a los sistemas

Ahora es el momento de comparar las dos partes. Para que el trabajo sea claro, es útil trabajar con una matriz bidimensional (véase el cuadro “Documentación de los riesgos identificados”). Las responsabilidades de gestión de TI, operaciones de TI y seguridad de TI forman las columnas y los sistemas identificados las filas. En cada celda se registran los riesgos identificados para el sistema respectivo y el área de responsabilidad. Para tener una visión completa, también es aconsejable registrar los lugares en los que ya existen medidas de protección eficaces. Cada área de responsabilidad examina los aspectos relevantes para “sus” sistemas y los compara con las funciones de emote. Los aspectos relevantes para la gestión de TI son, por ejemplo, las políticas y los procesos, para las operaciones de TI la documentación operativa y el conocimiento de la realidad operativa, y para la seguridad de TI las pruebas aisladas en el mundo real de las funciones de EmotetEl enfoque debe basarse siempre en el principio de “¿Qué? ¿Y qué?”. Esto significa preguntar: ¿Qué aporta Emotet al sistema/área investigada, qué efectos son concebibles? ¿Qué significa para nosotros? En otras palabras, ¿qué contramedidas existen y dónde se abren las brechas? De este modo, se mantiene el enfoque y el hilo rojo. Por supuesto, en este punto también puede ampliar la investigación y buscar el potencial de mejora de todos los medios, bajo su propio riesgo. Utilizando la infraestructura del correo electrónico como ejemplo, podría ser así: A nivel técnico, se pueden identificar tres Whats con Emotet: Ofuscación del origen del correo electrónico, ofuscación del contenido del correo electrónico y de alguna forma – entrega de un archivo . doc. Por lo tanto, la dirección de TI puede examinar aquí las políticas internas para el manejo de los correos electrónicos de partes externas. ¿Es necesario escanear los archivos adjuntos con un programa antivirus? ¿Deben utilizarse las firmas en el tráfico de correo normal para garantizar la autenticidad de un correo? ¿Qué formatos de archivo se pueden adjuntar?. 

Responsabilidades compartidas - cuestiones específicas

 Un nivel de abstracción más abajo, las operaciones de TI pueden preguntarse: ¿Están activadas las medidas de seguridad que ayudan a validar la autenticidad del remitente, como SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) o DMARC (Domain-based Message AuthenticationReporting and Conformance)? ¿Existe una pasarela de correo electrónico central que compruebe y clasifique el correo electrónico? ¿Está configurado el servidor de Exchange para alertar al usuario final cuando se adjuntan archivos zip cifrados? Por último, la seguridad informática puede ahora elegir los aspectos más específicos y probar cómo los maneja la infraestructura informática existente. ¿Qué aspecto tiene un correo electrónico con una cabecera FROM ofuscada en Outlook? ¿Se entregan los correos electrónicos con documentos adjuntos? Con la ayuda del virus de prueba EICAR puede comprobar el funcionamiento básico de un motor antivirus. Todas las anomalías, tanto positivas como negativas, deben documentarse en la matriz. En este punto también se pueden hacer comentarios generales, por ejemplo, si alguien tiene la impresión de que las medidas de protección instaladas en un punto determinado son insuficientes, sin poder nombrarlas específicamente. Sin embargo, en última instancia, el resultado de esta fase debería ser una visión general de los mecanismos de protección ya eficaces y de los puntos críticos que deberían examinarse de nuevo para determinar las mejores prácticas. 

Interpretación de los resultados y conclusión

Para interpretar los resultados, todas las partes interesadas en el autodiagnóstico, la dirección de TI, las operaciones de TI y la seguridad de TI, deben reunirse de nuevo. Ahora se trata de compartir los resultados y conclusiones, debatirlos y, por último, planificar su aplicación. Hay que priorizar las medidas en función del esfuerzo y el beneficio, y luego crear un plan en el que se debe llevar a cabo la aplicación. Todo el mundo estaba involucrado, todo el mundo sabe qué medidas tomar. Y: todo el mundo sabe por qué. Ciertamente, un autodiagnóstico de Emotet no es algo que pueda o deba marcarse en dos. Pero acaba aportando valor a las organizaciones de cualquier nivel de seguridad. Aquellos que todavía están en las primeras etapas de la implementación de la seguridad informática tienen la oportunidad de elaborar una estrategia de protección eficaz basada en un escenario de uso práctico, y obtener una idea de lo que se percibe como una amenaza difusa. Las empresas con experiencia en seguridad informática pueden exponer los puntos débiles de sus conceptos en relación con Emotet y construir una base de conocimientos. Hacer algo con ello. Eso significa que uno puede incluso después de seis años de historia de Emotet todavía están bien preparados para la emergencia. Porque digamos: los creadores están activos y la probabilidad de ser víctima del malware aumenta en lugar de disminuir.  

Para protegerse eficazmente de Emotet, es necesario centrarse en el punto de entrada principal del malware: la comunicación por correo electrónico. Con nuestra solución Hornetsecurity  Advanced Threat Protection se detecta fácilmente malware con Emotet y Ryuk en correos electrónicos y pone en cuarentena a ambos programas maliciosos.   La primera instancia de análisis identifica al troyano Emotet. Los troyanos posteriores Ryuk y TrickBot se pueden desenmascarar utilizando el análisis de comportamiento dinámico en el sandbox de ATP. Los correos electrónicos que contienen el malware pérfido no se entregan a los destinatarios. 

Además, debe procurarse un comportamiento atento y siempre con miras a salvaguardar la seguridad de la empresa: 

  • Dado que Emotet a menudo se esconde en los archivos de Microsoft Office y necesita macros para instalar malware, tiene sentido no permitirlos. Tampoco son necesarios en las áreas privadas de la mayoría de los negocios. Pero si los necesitamos, sería posible permitir sólo macros firmados. 
  • Se recomienda hacer copias de seguridad de datos de manera regular. 
  • Las actualizaciones de seguridad implementadas deben instalarse inmediatamente para sistemas operativos, programas antivirus, navegadores web, clientes de correo electrónico y programas de uso empresarial. 
  • Los accesos a la propia red de la empresa deben supervisarse continuamente. De esta manera, se puede determinar de forma oportuna si se ha producido una infección por Emotet. 
  • La vigilancia es primordial: Incluso con remitentes supuestamente conocidos, uno debe tener cuidado con los archivos adjuntos de correos electrónicos, especialmente con documentos de Office y sus enlaces. En caso de duda, es aconsejable contactar con el remitente de un correo electrónico sospechoso y comprobar la credibilidad del contenido.