A finales del mes de enero autoridades policiales y judiciales de Alemania, Estados Unidos, Reino Unido, Francia, Países Bajos, Lituania, Canadá y Ucrania anunciaban el desmantelamiento Emotet, el que calificaban como "malware más peligroso del mundo". La infraestructura usada por esta amenaza pasaba a estar bajo el control de los cuerpos policiales.
Se espera que esta operación internacional coordinada por Europol y Eurojust, explica Adolf Streda, analista de malware de Avast con el que hemos hablado al respecto de esta actuación, "ponga fin a la historia de uno de los malwares más peligrosos y adaptables que existen". De momento, ha sido una de las operaciones de desmantelamiento globales de infraestructuras de este tipo más grandes y efectivas hasta la fecha.
Por el momento, herramientas como este buscador permiten saber si Emotet nos ha afectado de alguna manera y, según han explicado algunos de los cuerpos policiales participantes en la acción, se ha colocado una actualización de software en los servidores centrales holandeses de esta red de bots para todos los sistemas informáticos infectados. "Es de esperar que esto elimine cualquier malware que el grupo Emotet pueda tener en los ordenadores infectados", señala Streda.
6 años de ciberdelincuencia
"El desmantelamiento de Emotet supone un hito muy relevante en la lucha contra la ciberdelincuencia", destaca el especialista de Avast. Y no exagera, sobre todo, si tenemos en cuenta la naturaleza de este programa malicioso.
Una suerte de navaja suiza de la ciberdelincuencia con múltiples posibilidades y a disposición de los mejores postores. Sirvió para robar contraseñas, sustraer dinero de cuentas bancarias o agregar los dispositivos de las victimas a las redes de bots para, de esta manera, lanzar más campañas de phishing y aumentar sus capacidades. Y así ha funcionado desde hace seis años.
"Emotet comenzó como un troyano bancario en 2014 bajo el control de un grupo conocido bajo los nombres de TA542, Mealybug y MUMMY SPIDER", nos cuenta Adolf Streda. "Con el tiempo, el grupo cambió el malware y las tácticas y llegó a ser más conocido por el nombre de Emotet. Una de las cosas que ha hecho que el grupo Emotet sea tan notable es cómo profesionalizaron su negocio ilegal".
Esta profesionalización, como explicamos anteriormente en Genbeta, consistía en el arrendamiento de la infraestructura a terceros ciberdelincuentes. Grupos criminales, muchos de ellos, de alto nivel según las autoridades policiales. Era una solución fiable y profesional para acceder a sistemas informáticos de todo el mundo por una puerta trasera.
Todo esto sucedió tres años después de su nacimiento, en 2017. Fue un paso hacia la profesionalización, nos dice Streda, "que me hace recordar el apunte de Bill Gates sobre la fiebre del oro en internet cuando dijo: 'las personas que venden sartenes a los buscadores a menudo lo harán mejor que los propios buscadores'".
Un año más tarde, en 2018, sus capacidades para enviar publicidad no deseada aumentaron sustancialmente. "En septiembre, estaban entregando más de medio millón de mensajes de spam en un solo día. Para octubre, duplicaban con creces esta capacidad entregando más de un millón de mensajes de spam en un día", recuerda el analista.
Los responsables de Emotet, a la postre, prácticamente funcionaban como una empresa. Como una buena empresa capaz de adaptarse a las exigencias de sus clientes y la situación del mercado. Así fue como en los últimos tiempos evolucionaron su modelo de negocio, sus cargas útiles de malware, métodos de entrega y sus cebos. "Por ejemplo, en 2020, el grupo Emotet aprovechó muchos anzuelos en torno a la Covid-19 para despertar los temores globales en torno a la pandemia", cuenta el investigador de Avast. Y no fueron los únicos, como sabemos.
"Ver la desarticulación de este malware por parte de las autoridades competentes es una noticia muy positiva para el mundo de la ciberseguridad teniendo en cuenta su amplio alcance y la gran cantidad de familias de malware reconocidas atribuidas a su infraestructura", dice Streda, que confía en que la acción de las autoridades signifique que la botnet Emotet haya dejado de existir tal y como la conocemos.
Sin embargo, destaca lo que destacábamos a finales de enero, cuando saltó la noticia: en ninguna de las informaciones facilitadas por la policía se ha hablado de cargos o arrestos. Esto abre la posibilidad de que sus responsables estén en libertad y traten de reconstruir su otrora imperio. "Hemos percibido un alto grado de adaptabilidad en este grupo, lo que hace que las posibilidades de que intenten reagruparse y reconstruirse sean mayores que con otros grupos eliminados en el pasado", concluye.