Han aumentado sustancialmente los ataques a entidades de gobiernos de los Estados Unidos con la herramienta Emotet, segĂșn informa la a Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) en una alerta publicada hoy.

Emotet , es un troyano bancario comĂșn que se detectĂł por primera vez en 2014, y en los Ășltimos años se ha convertido en una botnet que el grupo de amenazas TA542 (tambiĂ©n rastreado como Mummy Spider) utiliza para entregar cargas Ăștiles de malware de segunda etapa en dispositivos infectados.

El malware se utiliza para eliminar otras familias de malware, incluido el Trickbot (un vector conocido utilizado para implementar el ransomware Ryuk y Conti) y los troyanos QakBot.

Entidades del gobierno de EE. UU. Objetivo de Emotet en agosto

La alerta de hoy se basa en la informaciĂłn recopilada tanto por CISA como por el Centro de anĂĄlisis e intercambio de informaciĂłn multiestatal (MS-ISAC) desde el resurgimiento de Emotet en julio de 2020.

Durante este tiempo, "CISA observó que Emotet se ejecutaba en fases durante posibles campañas dirigidas", explica la agencia DHS .

Desde agosto, las dos organizaciones "han visto un aumento significativo de ciberatactores malintencionados dirigidos a los gobiernos estatales y locales con correos electrĂłnicos de phishing de Emotet".

"Este aumento ha convertido a Emotet en una de las amenazas actuales mås frecuentes", añade CISA.

Desde que volviĂł a estar en lĂ­nea, Emotet ha ocupado el primer lugar en la lista de las 10 principales cepas de malware cargadas y analizadas en la plataforma interactiva de anĂĄlisis de malware Any.Run .


De hecho, Emotet eclipsa al siguiente malware en la parte superior (el troyano de acceso remoto Njrat), con casi diez veces el nĂșmero de muestras enviadas para su anĂĄlisis en la plataforma.



16.000 alertas de actividad de Emotet desde julio

A partir de julio de 2020, CISA ha observado un aumento de la actividad de Emotet, con el "Sistema de detecciĂłn de intrusos EINSTEIN, que protege las redes del poder ejecutivo civil federal" detectando alrededor de 16.000 alertas relacionadas.

"Desde que resurgiĂł el 17 de julio, Emotet ha mantenido sus actividades con envĂ­os de spam diarios que arrojan mĂĄs de 500.000 correos electrĂłnicos todos los dĂ­as (excepto los fines de semana) a partir de las 2:00 am hora del PacĂ­fico (UTC -7)", dijo Microsoft en ese momento.

DespuĂ©s de que se reviviĂł, Emotet comenzĂł a  implementar el troyano TrickBot en dispositivos Windows infectados, reemplazando luego por completo las cargas Ăștiles de TrickBot cuando comenzĂł a  propagar el malware QakBot .

Para proteger las redes y los dispositivos contra los ataques de Emotet, CISA y MS-ISAC recomiendan a los administradores y usuarios tener cuidado al abrir archivos adjuntos sospechosos, usar software antivirus y bloquear direcciones IP sospechosas.

Si desea actualizaciones y mås información sobre las campañas activas de Emotet, debe seguir al grupo Cryptolaemus en Twitter, un colectivo de investigadores de seguridad que monitorean la actividad diaria del malware.