A finals de gener d’aquest 2021 va haver-hi una notícia que va passar sense pena ni glòria pels mitjans de comunicació, però que, en si mateixa, va representar una fita històrica per al món de la seguretat informàtica arreu del planeta i una molt bona raó per anar a dormir més tranquils, ja que es desmantellava la infraestructura darrere de l’Emotet, una de les xarxes de malware més sofisticades mai vistes.
Què era la Emotet?
La Emotet era una “Botnet”, una xarxa de programari maliciós nascuda el 2014 com un virus “troià” bancari, però que en poc temps es convertiria en una xarxa de distribució de malware. Els seus robots van infectar a milers de milions de dispositius en pocs anys i sovint era considerada com la peça de malware més perillosa del món i responsable d’aproximadament 2000 milions de dòlars en pèrdues, tot i que enguany s’assumeix que aquesta estimació podria ser molt conservadora. S’informa, a més, que avui en dia encara hi podria haver més d’1 milió de dispositius infectats pel seu programari maliciós.
Era una xarxa de malware tan sofisticada i potent que el seu desmantellament semblava gairabé impossible. Però gràcies als esforços coordinats dels serveis de seguretat de diferents països (EUA, Països Baixos, Alemanya, Regne Unit, França, Lituània, Canadà i Ucraïna) les jurisdiccions, unides per l’Europol, van aconseguir acabar amb una xarxa de cibercrim global que va causar estralls a tot el planeta durant la major part de l’última dècada.
La infraestructura darrere de la Emotet operava a centenars de servidors arreu del món i eren els responsables d’infectar les noves víctimes i crear noves variants de malware per a altres grups criminals organitzats.
De què era capaç aquesta xarxa de malware?
A molts no els sonarà el nom d’Emotet, però aquesta xarxa de programari maliciós que es va acabar convertint en un vehicle supersofisticat de molts altres virus. És a dir, era capaç de gairebé tots els delictes cibernètics tipificats a les lleis:
- Spam al correu electrònic replicat a contactes i familiars amb arxius adjunts infectats.
- Obertura d’accés a informació personal o documentació de valor.
- Ransomware: encriptació de bases de dades, el gran malson de les empreses.
- Piching de correus personals on moltes persones haurien perdut els seus estalvis o els haurien robat informació.
- Robatori claus a comptes bancaris.
- Entre molts d’altres.
Així doncs l’any 2014, es va detectar, per primera vegada, un nou virus troià que capturava informació bancària i en voler contrarestar aquest es replicava i infectava altres ordinadors mentre es copiava a si mateix en documents de Word per seguir amb el seu periple de robatori de credencials i informació personal.
Això va ser només el principi …
A les següents actualitzacions es van afegir enviament de spam i injecció de codi maliciós (inclosos altres troians bancaris). Se li van afegir funcions que ajudaven a aquesta xarxa a eludir les barreres antimalware i de ciberseguretat utilitzant capacitats similars a les d’un “worm” (virus cuc).
El seu nivell de sofisticació va ser tal que va portar al departament d’intel·ligència dels Estats Units a la conclusió que l’Emotet era una de les peces de malware més costoses de la història.
Per què, des del punt de vista criminològic, era tan interessant?
Emotet era una peça d’enginyeria informàtica totpoderosa, o “gairebé”. Quan el malware es feia amb el control del teu ordinador una de les seves primeres tasques era saquejar el correu i la seva llista de contactes per buscar noves portes d’entrada per replicar-se a si mateixa.
Cal destacar que els correus enviats per aquest virus, en realitat, no semblaven SPAM, ja que estaven enviats des d’adreces de confiança: amics, familiars, clients, etc. I això comportava una probabilitat molt més gran que els seus correus fossin oberts i els seus adjunts fossin descarregats.
No obstant això l’ SPAM no era l’únic mètode d’expansió del qual disposava. També es propagava per altres xarxes connectades trencant contrasenyes amb l’ús d’atacs de força bruta.
Emotet era polimòrfic
El fet que aquest malware fos polimòrfic significa que canviava a si mateixa. I cada vegada que es descarregava en una nova màquina canviava de forma (el seu codi) evitant així la detecció per signatures. Cosa que dificultava moltíssim la seva detecció per part de les barreres de seguretat informàtica.
I tot això que hem explicat, passava sense que el propietari del dispositiu s’assabentés de res. Així doncs, al cap d’uns anys una xarxa immensa arreu del planeta gaudia cada cop més de llibertat tota per a operar llançant atacs contra les víctimes predilectes dels hackers darrera la infraestructura: Moltes vegades atacs de ransomware per a encriptar les bases de dades d’empreses.
Si no saps que és el Ransomware i perquè és tan perillòs per a la teva empresa pots llegir-ne quelcom en aquest article que vam escriure per a vosaltres.
Si necessites assessorament per a enfortir la seguretat informàtica de la teva infraestructura truca’ns al 972 22 89 43 o envia’ns un whatsapp al 602 25 26 23.
Puc comprovar si el meu correu va quedar infectat?
Tot i que la xarxa Emotet va ser desmantellada encara existeixen milions de dispositius infectats els propietaris dels quals desconeixen que el virus segueix dins del seu aparell.
Tanmateix, les autoritats han posat una eina a disposició dels usuaris per poder comprovar si el nostre correu electrònic va ser infectat pel virus.
La pàgina està en holandès, i per a aquells que no tinguem el gran privilegi de parlar l’idioma dels països baixos també es pot traduir a l’anglès. Només cal introduir el nostre correu electrònic i en cas que estigui en la llista de correus infectats es rebrà un correu automàticament en cas contrari no se’n rebrà cap.
