SlideShare a Scribd company logo

Emotet: Más peligroso que el WannaCry

I
iDric Soluciones de TI y Seguridad Informática

El Emotet es una amenaza excepcionalmente peligrosa y destructiva que está provocando enormes problemas en empresas de todo el mundo. Este malware de rápida y constante evolución utiliza numerosas técnicas avanzadas para atravesar sus defensas, lo que significa que se necesita la mejor protección posible para detenerlo.

Software
1 of 13
Download to read offline
El Emotet es una amenaza excepcionalmente peligrosa y destructiva que está provocando enormes problemas en empresas de todo el mundo. Este malware de rápida y constante evolución utiliza numerosas técnicas avanzadas para atravesar sus defensas, lo que significa que se necesita la mejor protección posible para detenerlo. Este monográfico le ayudará a entender qué es el Emotet, cómo funciona y por qué es tan, tan peligroso. También le explicaremos cómo le ofrece Sophos la mejor defensa posible contra el Emotet en cada punto de la cadena de ataque, además de tres prácticas recomendadas que deberían aplicar todas las empresas para minimizar su riesgo de sufrir un ataque del Emotet. Emotet: Más peligroso que el WannaCry y más difícil de detener
Monográficos de Sophos Febrero de 2019 2 Emotet: Más peligroso que el WannaCry y más difícil de detener Acerca del Emotet El Emotet es un gusano muy sofisticado. De hecho, el Departamento de Seguridad Nacional de los EE. UU. considera que está entre las amenazas más costosas y destructivas a las que se enfrentan los negocios estadounidenses ahora mismo. Y no es que su acción se limite a los Estados Unidos, como veremos a continuación. El Emotet no es un malware nuevo, sino que se ha ido volviendo más complejo y destructivo a lo largo de los años. El Emotet apareció por primera vez hace cinco años en forma de troyano que robaba credenciales bancarias silenciosamente. Desde entonces se ha convertido en una plataforma altamente sofisticada para la distribución de otros tipos de malware. Es la Ciberdelincuencia como Servicio personificada. Evolución constante 2014 Troyano bancario 2019 Ciberdelincuencia como Servicio El Emotet sirve cualquier malware que le convenga. En lo que va de 2019, esto ha incluido los troyanos bancarios TrickBot y QBot, aunque también se ha vinculado al BitPaymer, una variedad de ransomware sofisticado que consigue obtener sumas de seis cifras. Las personas que hay detrás del Emotet son sumamente profesionales y se mueven por motivaciones económicas. Actualizan continuamente su malware para hacerlo aún más potente y destructivo. El Departamento de Seguridad Nacional de los EE. UU. considera que está entre las amenazas más costosas y destructivas a las que se enfrentan los negocios estadounidenses ahora mismo1
Monográficos de Sophos Febrero de 2019 3 Emotet: Más peligroso que el WannaCry y más difícil de detener Cargas en constante evolución Una de las características del Emotet es que sus cargas cambian todo el tiempo. Este gráfico muestra el número de nuevos ejecutables de carga únicos del Emotet observados por SophosLabs durante las dos últimas semanas de enero de 2019. N.º de ejecutables de carga únicos del Emotet observados por SophosLabs 375 388 343 414 208 393 338 270 179 214 125 248 751 119 129 Enero 2019 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. Como se puede ver, hay literalmente cientos de versiones a diario. De hecho, SophosLabs observa de media unos 300 ejecutables de carga únicos nuevos todos los días, y ha observado casi 4500 ejecutables de carga únicos (4494 concretamente) solo en los últimos 15 días de enero. Alcance global Si bien el Departamento de Seguridad Nacional de los EE. UU. considera el Emotet como una de las amenazas más costosas y destructivas que existen, el Emotet no se limita a los Estados Unidos. El siguiente gráfico de SophosLabs muestra los países más afectados por el Emotet: cuanto más cerca del rojo, más alto el número de ataques.
Monográficos de Sophos Febrero de 2019 4 Emotet: Más peligroso que el WannaCry y más difícil de detener Alcance geográfico del Emotet. Fuente: SophosLabs SophosLabs ha observado el Emotet en prácticamente todas las regiones, pero los objetivos más populares son Norteamérica y Sudamérica, Europa del Norte y Occidental, Turquía, Australia, el Sudeste Asiático, China, la India y Pakistán. Si bien África y Europa del Este no se ven tan afectados actualmente, no vaya a pensar que no tiene de qué preocuparse en estas regiones. Los ciberdelincuentes detrás del Emotet son rápidos a la hora de aprovechar nuevas oportunidades y no sabemos adónde se dirigirán a continuación. Empieza con spam El Emotet suele llegar como parte de una campaña de spam. Los correos electrónicos le incitan a hacer clic en un documento malicioso. Originalmente, el spam del Emotet se distribuía a través de documentos maliciosos adjuntos a correos electrónicos, pero ahora lo que incluyen estos mensajes son enlaces a documentos maliciosos alojados en sitios web. La ingeniería social y la falsificación de marcas son algunas de las técnicas utilizadas en el spam del Emotet; entre las marcas utilizadas habitualmente se encuentran Amazon, PayPal y AT&T. Ejemplo de correo electrónico de spam del Emotet. Fuente: SophosLabs
Monográficos de Sophos Febrero de 2019 5 Emotet: Más peligroso que el WannaCry y más difícil de detener Los (muchos) objetivos del Emotet ¿Qué hace el Emotet? Desafortunadamente, la respuesta es que hace muchas cosas. Una vez dentro del ordenador, el Emotet intenta lo siguiente: 1. Propagarse a tantos ordenadores como sea posible. Es un gusano, por lo que puede propagarse sin intervención del usuario. Se desplaza de un ordenador infectado a otro a través de la red. 2. Enviar correos electrónicos maliciosos para infectar otras empresas. 3. Descargar una carga de malware. Tradicionalmente, las cargas han sido sobre todo troyanos bancarios, siendo el TrickBot uno de los más frecuentes. Su carga inyecta código en el navegador para sacar dinero automáticamente de su banco o cuenta de PayPal la próxima vez que inicie sesión. 4. Algunas variantes del Emotet extraen direcciones de correo electrónico y nombres de datos y archivos de clientes de correo electrónico, probablemente para que puedan venderse como parte de una lista más amplia y utilizarse para propagar más spam malicioso. 5. Otros inspeccionan el navegador web para robar historiales y nombres de usuario y contraseñas guardados. 6. Por si fuera poco, el Emotet también puede ser una cortina de humo para ataques de malware dirigidos. Mientras las empresas se ocupan de las infecciones del Emotet, algunos programas de ransomware como el BitPaymer aprovechan la distracción para hacerse con su datos. Ser una cortina de humo para el ransomware dirigido Enviar spam para infectar otras empresas Propagarse a través de la red Descargar cargas de malware Robar historiales de navegadores, nombres de usuario y contraseñas Extraer direcciones de correo electrónico y nombres Las actividades del Emotet son sumamente dañinas para las empresas afectadas. Estas son algunas de las repercusiones: • Costes financieros y operativos del troyano bancario • Perjuicios para la reputación del remitente por la distribución de spam malicioso • Costes e implicaciones de cumplimiento de una filtración de datos por la información de contacto perdida • Infracción de seguridad por la pérdida de nombres de usuario y contraseñas • Potencialmente, costes financieros de un ataque de ransomware dirigido Así pues, no es de extrañar que las infecciones del Emotet hayan costado a las organizaciones gubernamentales de EE. UU. hasta 1 millón de USD por incidente resuelto.2
Monográficos de Sophos Febrero de 2019 6 Emotet: Más peligroso que el WannaCry y más difícil de detener Defenderse del Emotet con Sophos Para protegerse de una amenaza sofisticada como el Emotet, necesita las mejores tecnologías de protección avanzadas que existan. Y esto es exactamente lo que ofrece Sophos, tanto en el endpoint como en la red. Para saber cómo tiene que protegerse contra el Emotet, es importante entender cómo funciona el ataque. Ciber- delincuente 1. Infiltrarse Correo electrónico de spam 2. Llamar a casa Darpartedeléxito Obtenerinstrucciones ycarga 4A. Robar datos Cargar direcciones de correo electrónico, nombres de usuario y contraseñas 4B. Ataque de bots Enviar spam para infectar otras empresas Servidores de C y C Destino 4C. Carga Instalar troyano bancario Instalar ransomware 3. Propagarse Propagarse a otros sistemas de la red Sophos le protege del Emotet de varias maneras y en todos los puntos de la cadena de ataque, desde evitar la entrada inicial de la amenaza en la red hasta impedir que se propague a otras partes de la red. Así se bloquea la comunicación con el sitio de origen y el robo de datos y se impide la instalación de las cargas.
Monográficos de Sophos Febrero de 2019 7 Emotet: Más peligroso que el WannaCry y más difícil de detener Evite que el Emotet infecte sus endpoints El Emotet realiza múltiples acciones en el endpoint para llevar a cabo su ataque, como puede ver en el siguiente ejemplo de una cadena de ataque de enero de 2019. 1. El usuario recibe un correo electrónico malicioso (malspam). 4. La macro utiliza CMD (línea de comandos) para ejecutar código malicioso oculto. 7. PowerShell se conecta a una dirección IP y descarga un archivo llamado 431.exe. 2. El usuario hace clic en un archivo adjunto malicioso: un documento llamado rgnr-a- vr111205-85.doc. 5. CMD inicia una segunda copia de CMD. 8. PowerShell ejecuta 431.exe. 3. El usuario habilita macros maliciosas en el documento. 6. La segunda copia inicia Microsoft PowerShell. 9. Sophos HIPS detectó que PowerShell se conectaba a una dirección IP sospechosa y descargaba un ejecutable de reputación desconocida y bloqueó este comportamiento. Intercept X Advanced with EDR cuenta con numerosas tecnologías para impedir que el Emotet libere su carga. Ofrece las distintas capas de protección que necesita para defenderse de una amenaza de tan rápida evolución y tan sofisticada como el Emotet. • Entrega. La protección web impide la entrega del correo electrónico malicioso. • Explotación. Para detener la ejecución del exploit se utilizan mitigaciones antiexploits (código/ memoria/APC), bloqueo de aplicaciones, mitigación de privilegios locales y control de aplicaciones. • Instalación. El Deep Learning y HIPS bloquean la instalación del malware. • Comando y control. La Detección de tráfico malicioso (MTD) detiene la comunicación con el servidor de comando y control para impedir que la amenaza reciba instrucciones. • Acción sobre el objetivo. Para evitar que el Emotet logre sus objetivos se utiliza protección antiransomware y contra el robo de credenciales, HIPS en tiempo de ejecución y RCA.
Monográficos de Sophos Febrero de 2019 8 Emotet: Más peligroso que el WannaCry y más difícil de detener Con una amenaza que cambia y evoluciona tan rápidamente como el Emotet, es fundamental poder predecir lo que va a pasar a continuación y bloquear variantes que no se hayan observado antes. Las funciones de Deep Learning de Intercept X permiten hacer exactamente esto, es decir, adelantarse a las nuevas amenazas antes de que se distribuyan. No sabemos cómo será el Emotet la próxima semana o el próximo mes, pero la tecnología predictiva que bloquea las amenazas desconocidas le ofrece la mejor garantía posible de cara al futuro. La detección y respuesta para endpoints (EDR) es una parte importante de la defensa efectiva contra el Emotet. Como hemos visto, el Emotet no es el típico malware. Es muy persistente. Las funciones de EDR de Intercept le permiten contestar algunas preguntas difíciles: • ¿Qué ha ocurrido? • ¿Qué se ha visto afectado? • ¿Hemos perdido datos? • ¿Queda alguna amenaza latente? Evite que el Emotet entre en su red No existe ninguna fórmula infalible para impedir que el Emotet acceda inicialmente a su red. XG Firewall incluye un completo paquete de tecnologías de protección que tienen un papel importante en la defensa contra el Emotet y que le ofrecen de forma conjunta la mejor protección posible. Asimismo, todo se gestiona desde una única pantalla mediante una regla de firewall, de modo que puede ver fácilmente la seguridad que ha aplicado a una conexión o tipo de tráfico concretos. Protección web y del correo electrónico Espacios seguros Sistema de prevención de intrusiones Control de aplicaciones Protección contra amenazas avanzadas Seguridad Sincronizada
Monográficos de Sophos Febrero de 2019 9 Emotet: Más peligroso que el WannaCry y más difícil de detener Protección del correo electrónico: bloquea el spam del Emotet tanto entrante como saliente, sirviéndose de la información sobre amenazas de SophosLabs para identificar los correos electrónicos maliciosos. Espacios seguros de Sophos Sandstorm: le ofrecen la mejor protección contra amenazas emergentes basadas en archivos y de día cero. Los instaladores de malware del Emotet son un ejemplo perfecto de los tipos de amenazas que está diseñado para identificar Sandstorm. Sandstorm cuenta con la mejor tecnología de Intercept X que actúa en el espacio seguro virtual en la nube, tecnología como la detección de exploits, la protección antiransomware y el Deep Learning. En el caso del Emotet, Sandstorm identificará: • firmas de memoria del Emotet; • comportamientos maliciosos en documentos de Office asociados al Emotet; • usos maliciosos de PowerShell; • intentos de conexión con direcciones URL de alto riesgo, • y, por supuesto, cualquier comportamiento malicioso manifiesto. Una de las ventajas de Sandstorm es que puede ejecutarse de forma más agresiva que el típico análisis de endpoints porque no tiene en cuenta el rendimiento de los usuarios, y es sumamente efectivo. Prevención de intrusiones (IPS): también debe ser un elemento fundamental de las defensas de su red. IPS es el equivalente de red de la detección de exploits. Examina el tráfico de red en busca de exploits o de cualquier paquete que contenga código que forme parte de un ataque. Sophos IPS puede detectar exploits contra vulnerabilidades de sistemas operativos, pilas de red, servidores, endpoints, navegadores y aplicaciones, entre otros. Por ejemplo, TrickBot, una carga común distribuida por el Emotet, utiliza la misma vulnerabilidad de SMB que el WannaCry para propagarse por las redes y que IPS detecta y bloquea fácilmente. IPS es especialmente útil en situaciones en que un endpoint no gestionado accede a la red con algún tipo de infección que luego empieza a conectarse con otros sistemas de la red. IPS identificará y bloqueará estos intentos. El motor de Sophos IPS es de los mejores del sector; se clasificó como uno de los tres primeros en materia de efectividad de la seguridad y rendimiento en una prueba reciente de NSS Labs.
Monográficos de Sophos Febrero de 2019 10 Emotet: Más peligroso que el WannaCry y más difícil de detener Impida al Emotet comunicarse y robar datos XG Firewall también incluye tecnologías para ayudar a evitar que una amenaza como el Emotet robe datos o se comunique con el exterior. La función Protección contra amenazas avanzadas (ATP) supervisa todo el tráfico que abandona el firewall en busca de señales de comunicación con servidores de malware, servidores de comando y control y sistemas de hackers, e identifica el equipo y la amenaza instantáneamente. Nuestra enorme base de datos de servidores de hackers y comando y control conocidos es mantenida por SophosLabs y actualizada constantemente a través de Live Cloud, a fin de garantizar que podemos identificar incluso las variantes más recientes de amenazas como esta que intenten comunicarse con su sitio de origen. Esto le ahorra muchísimo tiempo a la hora de determinar dónde está la amenaza, además de permitirle limpiarla con rapidez.   Incremente su protección contra el Emotet con la Seguridad Sincronizada Intercept X protege sus endpoints del Emotet, mientras que XG Firewall mantiene segura su red. De forma individual, ofrecen la mejor protección que existe. Y juntos llevan la protección a un nivel sin precedentes al que ni siquiera se acercan los demás proveedores. Es lo que llamamos Seguridad Sincronizada. Con la Seguridad Sincronizada, los productos de Sophos funcionan de forma conjunta para identificar y contener amenazas como el Emotet. Todo se hace automáticamente, sin intervención, en cuestión de segundos. Intercept X y XG Firewall comparten información sobre seguridad en tiempo real a través de Security Heartbeat™ y responden automáticamente gracias a las políticas dinámicas del firewall.
Monográficos de Sophos Febrero de 2019 11 Emotet: Más peligroso que el WannaCry y más difícil de detener Respuesta sin intervención al Emotet Detección de malware Intercept X detecta la ejecución del Emotet Restablecimiento del acceso XG restablece el acceso a la red. Investigaciones guiadas para proporcionar una vista detallada de lo ocurrido Comunicación entre múltiples entornos Intercept X indica a XG Firewall en qué ordenadores ha detectado el Emotet Aislamiento de dispositivos XG Firewall aísla al instante los ordenadores infectados por el Emotet. • Aislado del mundo exterior • Aislado de otros endpoints Limpieza Intercept X limpia la infección de forma automática. Una vez que se ha eliminado el Emotet, Intercept X comparte esta actualización con XG Firewall 1 2 3 45 Si Intercept X detecta el Emotet, alerta a XG Firewall, que entonces aísla instantáneamente el ordenador, tanto del mundo exterior como de otros endpoints, incluso si se encuentran en el mismo segmento o conmutador de red, para impedir la propagación lateral. También funciona a la inversa: si XG Firewall detecta el Emotet o una de sus cargas, como el TrickBot, a través de IPS o ATP, informa al endpoint y aísla directamente el ordenador infectado de forma automática. En ambos casos, aparecerá un indicador instantáneo en el centro de control de XG Firewall que identifica el ordenador, al usuario e incluso el proceso y la amenaza, automáticamente, sin que tenga que hacer nada.
Monográficos de Sophos Febrero de 2019 12 Emotet: Más peligroso que el WannaCry y más difícil de detener Prácticas recomendadas para bloquear el Emotet Proteja TODOS sus ordenadores. Aplique los parches con prontitud y frecuencia. Bloquee PowerShell por defecto. Sus tecnologías de protección deben ir de la mano de las prácticas recomendadas para defender su empresa del Emotet. Sophos recomienda que todo el mundo siga estos tres pasos: 1. Proteja TODOS sus ordenadores Los ordenadores desconocidos no protegidos dan al Emotet un lugar en el que ocultarse y adaptarse, lo que empeora notablemente una situación ya de por sí mala. Aunque actualmente el Emotet se encuentre confinado a un ordenador desprotegido por el software de seguridad de los otros equipos, no cejará en su intento de liberarse. Y como se actualiza tan a menudo, presenta nuevos desafíos continuamente. Cuando más tiempo se le permita persistir en esas maquinaciones, mayor es el riesgo de que una actualización del Emotet o un cambio de carga encuentre una fisura en su coraza que le permita escapar y propagarse por la red. Ejecute una herramienta de escaneado de red (como Advanced IP Scanner) y compruebe que no tiene ordenadores desprotegidos en su red. Muchas empresas han descubierto el Emotet afincado en un equipo del que ni siquiera eran conscientes y que, por tanto, no habían protegido. 2. Aplique los parches con prontitud y frecuencia Puede que le parezca el consejo más antiguo de la historia, pero esto no lo hace menos importante. El Emotet es una pasarela para otro malware, de modo que contener un ataque del Emotet no solo significa detener el Emotet, sino detener también todo aquello que lo acompañe. Como no sabe de qué va a tratarse, debe tomar las mejores precauciones que le permitan sus posibilidades, y esto incluye aplicar parches para vulnerabilidades conocidas. El EternalBlue es el exploit que el WannaCry y el NotPetya hicieron famoso en 2017. A pesar de todos los titulares, y casi dos años después de que Microsoft publicara parches para protegerse contra él, el TrickBot (la carga más comúnmente propagada por el Emotet) sigue aprovechándose de este exploit. 3. Bloquee PowerShell por defecto Como hemos visto en la cadena de ataque anteriormente, los ataques del Emotet suelen utilizar PowerShell. Le recomendamos que empiece asumiendo que nadie lo necesita (incluidos los administradores) y que luego lo desbloquee únicamente para las personas que realmente necesiten PowerShell para realizar sus funciones. Y asegúrese de bloquear PowerShell, en lugar de solo establecer una política para deshabilitarlo. Las políticas pueden eludirse, de modo que es necesario que incluya PowerShell en la lista de bloqueo. (En los productos de Sophos, la función para hacerlo es Control de aplicaciones).
07/02/2019 WP-ES (NP) Emotet: Más peligroso que el WannaCry y más difícil de detener © Copyright 2019. Sophos Ltd. Todos los derechos reservados. Constituida en Inglaterra y Gales bajo el número de registro 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios. Conclusión El Emotet es un poderoso enemigo que deja un rastro de devastación a su paso. Para detener una amenaza de este tipo, necesita unas defensas avanzadas en cada punto de la infraestructura de seguridad. Sophos le proporciona la mejor defensa posible contra el Emotet: • Protección avanzada de eficacia probada en el endpoint y el firewall • Aislamiento y limpieza de amenazas únicos y sin intervención con Seguridad Sincronizada • Tecnologías de Deep Learning para mitigar el riesgo de una futura evolución del Emotet Al combinar las tecnologías de protección avanzada de Sophos con las prácticas recomendadas, contará con la mejor protección posible contra el Emotet. Contáctanos: Tel: (+52) 55 2455-3254 Lada sin costo 01 800 087 3742 Ventas: ventas@idric.com.mx / sophos@idric.com.mx Soporte: 911@idric.com.mx Marketing: bfacundo@idric.com.mx Renovaciones: renovaciones@idric.com.mx ¡Descarga tu prueba gratuita!

Recommended

Presentación corporativa-iDric-2021
Presentación corporativa-iDric-2021Presentación corporativa-iDric-2021
Presentación corporativa-iDric-2021iDric Soluciones de TI y Seguridad Informática
 
Firewall best-practices-firewall-analyzer
Firewall best-practices-firewall-analyzerFirewall best-practices-firewall-analyzer
Firewall best-practices-firewall-analyzeriDric Soluciones de TI y Seguridad Informática
 
Servicios iDric Análisis de vulnerabilidades
Servicios iDric Análisis de vulnerabilidades Servicios iDric Análisis de vulnerabilidades
Servicios iDric Análisis de vulnerabilidades iDric Soluciones de TI y Seguridad Informática
 
Las 6 formas en que ServiceDesk Plus garantiza la integridad de la ITSM
Las 6 formas en que ServiceDesk Plus garantiza la integridad de la ITSM Las 6 formas en que ServiceDesk Plus garantiza la integridad de la ITSM
Las 6 formas en que ServiceDesk Plus garantiza la integridad de la ITSM iDric Soluciones de TI y Seguridad Informática
 
Fortalezca la seguridad de la empresa con la administración de seguridad móvil
Fortalezca la seguridad de la empresa con la administración de seguridad móvilFortalezca la seguridad de la empresa con la administración de seguridad móvil
Fortalezca la seguridad de la empresa con la administración de seguridad móviliDric Soluciones de TI y Seguridad Informática
 
Sophos XG Firewall y SD-WAN
Sophos XG Firewall y SD-WAN Sophos XG Firewall y SD-WAN
Sophos XG Firewall y SD-WAN iDric Soluciones de TI y Seguridad Informática
 
Parches para Windows, Mac, Linux y terceros
Parches para Windows, Mac, Linux y tercerosParches para Windows, Mac, Linux y terceros
Parches para Windows, Mac, Linux y tercerosiDric Soluciones de TI y Seguridad Informática
 
Guía para el cumplimiento de ISO 20000
Guía para el cumplimiento de ISO 20000Guía para el cumplimiento de ISO 20000
Guía para el cumplimiento de ISO 20000iDric Soluciones de TI y Seguridad Informática
 

Recommended

Presentación corporativa-iDric-2021
Presentación corporativa-iDric-2021Presentación corporativa-iDric-2021
Presentación corporativa-iDric-2021iDric Soluciones de TI y Seguridad Informática
 
Firewall best-practices-firewall-analyzer
Firewall best-practices-firewall-analyzerFirewall best-practices-firewall-analyzer
Firewall best-practices-firewall-analyzeriDric Soluciones de TI y Seguridad Informática
 
Servicios iDric Análisis de vulnerabilidades
Servicios iDric Análisis de vulnerabilidades Servicios iDric Análisis de vulnerabilidades
Servicios iDric Análisis de vulnerabilidades iDric Soluciones de TI y Seguridad Informática
 
Las 6 formas en que ServiceDesk Plus garantiza la integridad de la ITSM
Las 6 formas en que ServiceDesk Plus garantiza la integridad de la ITSM Las 6 formas en que ServiceDesk Plus garantiza la integridad de la ITSM
Las 6 formas en que ServiceDesk Plus garantiza la integridad de la ITSM iDric Soluciones de TI y Seguridad Informática
 
Fortalezca la seguridad de la empresa con la administración de seguridad móvil
Fortalezca la seguridad de la empresa con la administración de seguridad móvilFortalezca la seguridad de la empresa con la administración de seguridad móvil
Fortalezca la seguridad de la empresa con la administración de seguridad móviliDric Soluciones de TI y Seguridad Informática
 
Sophos XG Firewall y SD-WAN
Sophos XG Firewall y SD-WAN Sophos XG Firewall y SD-WAN
Sophos XG Firewall y SD-WAN iDric Soluciones de TI y Seguridad Informática
 
Parches para Windows, Mac, Linux y terceros
Parches para Windows, Mac, Linux y tercerosParches para Windows, Mac, Linux y terceros
Parches para Windows, Mac, Linux y tercerosiDric Soluciones de TI y Seguridad Informática
 
Guía para el cumplimiento de ISO 20000
Guía para el cumplimiento de ISO 20000Guía para el cumplimiento de ISO 20000
Guía para el cumplimiento de ISO 20000iDric Soluciones de TI y Seguridad Informática
 
Guia de soluciones active directory
Guia de soluciones active directoryGuia de soluciones active directory
Guia de soluciones active directoryiDric Soluciones de TI y Seguridad Informática
 
"Sophos MTR" Respuesta a amenazas a cargo de expertos
"Sophos MTR" Respuesta a amenazas a cargo de expertos "Sophos MTR" Respuesta a amenazas a cargo de expertos
"Sophos MTR" Respuesta a amenazas a cargo de expertos iDric Soluciones de TI y Seguridad Informática
 
Administración de servicios de TI
Administración de servicios de TIAdministración de servicios de TI
Administración de servicios de TIiDric Soluciones de TI y Seguridad Informática
 
Sophos Intercept X for Mac
Sophos Intercept X for Mac Sophos Intercept X for Mac
Sophos Intercept X for Mac iDric Soluciones de TI y Seguridad Informática
 
Administración unificada de endpoints
Administración unificada de endpointsAdministración unificada de endpoints
Administración unificada de endpointsiDric Soluciones de TI y Seguridad Informática
 
Estado del ransomware en 2020
Estado del ransomware en 2020Estado del ransomware en 2020
Estado del ransomware en 2020iDric Soluciones de TI y Seguridad Informática
 
Administración potente y escalable para redes, aplicaciones y entornos en la ...
Administración potente y escalable para redes, aplicaciones y entornos en la ...Administración potente y escalable para redes, aplicaciones y entornos en la ...
Administración potente y escalable para redes, aplicaciones y entornos en la ...iDric Soluciones de TI y Seguridad Informática
 
Informe de solución XG Firewall v18
Informe de solución XG Firewall v18Informe de solución XG Firewall v18
Informe de solución XG Firewall v18iDric Soluciones de TI y Seguridad Informática
 
Desktop central en la perspectiva de los administradores
Desktop central en la perspectiva de los administradoresDesktop central en la perspectiva de los administradores
Desktop central en la perspectiva de los administradoresiDric Soluciones de TI y Seguridad Informática
 
Active Directory  Gestión y generación de informes ADManager Plus
Active Directory  Gestión y generación de informes ADManager Plus Active Directory  Gestión y generación de informes ADManager Plus
Active Directory  Gestión y generación de informes ADManager Plus iDric Soluciones de TI y Seguridad Informática
 
Administración de Active Directory y Exchange
Administración de Active Directory y Exchange Administración de Active Directory y Exchange
Administración de Active Directory y Exchange iDric Soluciones de TI y Seguridad Informática
 
Cuente con un monitoreo exhaustivo y una mejor visión de cambios en su entorn...
Cuente con un monitoreo exhaustivo y una mejor visión de cambios en su entorn...Cuente con un monitoreo exhaustivo y una mejor visión de cambios en su entorn...
Cuente con un monitoreo exhaustivo y una mejor visión de cambios en su entorn...iDric Soluciones de TI y Seguridad Informática
 
Guía de Soluciones ManageEngine 2020
Guía de Soluciones ManageEngine 2020 Guía de Soluciones ManageEngine 2020
Guía de Soluciones ManageEngine 2020 iDric Soluciones de TI y Seguridad Informática
 
Desktop central presentacion
Desktop central presentacionDesktop central presentacion
Desktop central presentacioniDric Soluciones de TI y Seguridad Informática
 
Administración de Active Directory
Administración de Active Directory Administración de Active Directory
Administración de Active Directory iDric Soluciones de TI y Seguridad Informática
 
AD360
AD360AD360
AD360iDric Soluciones de TI y Seguridad Informática
 
ManageEngine OpManager Plus
ManageEngine OpManager Plus ManageEngine OpManager Plus
ManageEngine OpManager Plus iDric Soluciones de TI y Seguridad Informática
 
Guía de Soluciones ManageEngine
Guía de Soluciones ManageEngine Guía de Soluciones ManageEngine
Guía de Soluciones ManageEngine iDric Soluciones de TI y Seguridad Informática
 
Desktop Central
Desktop CentralDesktop Central
Desktop CentraliDric Soluciones de TI y Seguridad Informática
 
Analytics Plus Brochure
Analytics Plus BrochureAnalytics Plus Brochure
Analytics Plus BrochureiDric Soluciones de TI y Seguridad Informática
 

More Related Content

More from iDric Soluciones de TI y Seguridad Informática

More from iDric Soluciones de TI y Seguridad Informática (20)

Guia de soluciones active directory
Guia de soluciones active directoryGuia de soluciones active directory
Guia de soluciones active directory
 
"Sophos MTR" Respuesta a amenazas a cargo de expertos
"Sophos MTR" Respuesta a amenazas a cargo de expertos "Sophos MTR" Respuesta a amenazas a cargo de expertos
"Sophos MTR" Respuesta a amenazas a cargo de expertos
 
Administración de servicios de TI
Administración de servicios de TIAdministración de servicios de TI
Administración de servicios de TI
 
Sophos Intercept X for Mac
Sophos Intercept X for Mac Sophos Intercept X for Mac
Sophos Intercept X for Mac
 
Administración unificada de endpoints
Administración unificada de endpointsAdministración unificada de endpoints
Administración unificada de endpoints
 
Estado del ransomware en 2020
Estado del ransomware en 2020Estado del ransomware en 2020
Estado del ransomware en 2020
 
Administración potente y escalable para redes, aplicaciones y entornos en la ...
Administración potente y escalable para redes, aplicaciones y entornos en la ...Administración potente y escalable para redes, aplicaciones y entornos en la ...
Administración potente y escalable para redes, aplicaciones y entornos en la ...
 
Informe de solución XG Firewall v18
Informe de solución XG Firewall v18Informe de solución XG Firewall v18
Informe de solución XG Firewall v18
 
Desktop central en la perspectiva de los administradores
Desktop central en la perspectiva de los administradoresDesktop central en la perspectiva de los administradores
Desktop central en la perspectiva de los administradores
 
Active Directory  Gestión y generación de informes ADManager Plus
Active Directory  Gestión y generación de informes ADManager Plus Active Directory  Gestión y generación de informes ADManager Plus
Active Directory  Gestión y generación de informes ADManager Plus
 
Administración de Active Directory y Exchange
Administración de Active Directory y Exchange Administración de Active Directory y Exchange
Administración de Active Directory y Exchange
 
Cuente con un monitoreo exhaustivo y una mejor visión de cambios en su entorn...
Cuente con un monitoreo exhaustivo y una mejor visión de cambios en su entorn...Cuente con un monitoreo exhaustivo y una mejor visión de cambios en su entorn...
Cuente con un monitoreo exhaustivo y una mejor visión de cambios en su entorn...
 
Guía de Soluciones ManageEngine 2020
Guía de Soluciones ManageEngine 2020 Guía de Soluciones ManageEngine 2020
Guía de Soluciones ManageEngine 2020
 
Desktop central presentacion
Desktop central presentacionDesktop central presentacion
Desktop central presentacion
 
Administración de Active Directory
Administración de Active Directory Administración de Active Directory
Administración de Active Directory
 
AD360
AD360AD360
AD360
 
ManageEngine OpManager Plus
ManageEngine OpManager Plus ManageEngine OpManager Plus
ManageEngine OpManager Plus
 
Guía de Soluciones ManageEngine
Guía de Soluciones ManageEngine Guía de Soluciones ManageEngine
Guía de Soluciones ManageEngine
 
Desktop Central
Desktop CentralDesktop Central
Desktop Central
 
Analytics Plus Brochure
Analytics Plus BrochureAnalytics Plus Brochure
Analytics Plus Brochure
 

Emotet: Más peligroso que el WannaCry

  • 1. El Emotet es una amenaza excepcionalmente peligrosa y destructiva que está provocando enormes problemas en empresas de todo el mundo. Este malware de rápida y constante evolución utiliza numerosas técnicas avanzadas para atravesar sus defensas, lo que significa que se necesita la mejor protección posible para detenerlo. Este monográfico le ayudará a entender qué es el Emotet, cómo funciona y por qué es tan, tan peligroso. También le explicaremos cómo le ofrece Sophos la mejor defensa posible contra el Emotet en cada punto de la cadena de ataque, además de tres prácticas recomendadas que deberían aplicar todas las empresas para minimizar su riesgo de sufrir un ataque del Emotet. Emotet: Más peligroso que el WannaCry y más difícil de detener
  • 2. Monográficos de Sophos Febrero de 2019 2 Emotet: Más peligroso que el WannaCry y más difícil de detener Acerca del Emotet El Emotet es un gusano muy sofisticado. De hecho, el Departamento de Seguridad Nacional de los EE. UU. considera que está entre las amenazas más costosas y destructivas a las que se enfrentan los negocios estadounidenses ahora mismo. Y no es que su acción se limite a los Estados Unidos, como veremos a continuación. El Emotet no es un malware nuevo, sino que se ha ido volviendo más complejo y destructivo a lo largo de los años. El Emotet apareció por primera vez hace cinco años en forma de troyano que robaba credenciales bancarias silenciosamente. Desde entonces se ha convertido en una plataforma altamente sofisticada para la distribución de otros tipos de malware. Es la Ciberdelincuencia como Servicio personificada. Evolución constante 2014 Troyano bancario 2019 Ciberdelincuencia como Servicio El Emotet sirve cualquier malware que le convenga. En lo que va de 2019, esto ha incluido los troyanos bancarios TrickBot y QBot, aunque también se ha vinculado al BitPaymer, una variedad de ransomware sofisticado que consigue obtener sumas de seis cifras. Las personas que hay detrás del Emotet son sumamente profesionales y se mueven por motivaciones económicas. Actualizan continuamente su malware para hacerlo aún más potente y destructivo. El Departamento de Seguridad Nacional de los EE. UU. considera que está entre las amenazas más costosas y destructivas a las que se enfrentan los negocios estadounidenses ahora mismo1
  • 3. Monográficos de Sophos Febrero de 2019 3 Emotet: Más peligroso que el WannaCry y más difícil de detener Cargas en constante evolución Una de las características del Emotet es que sus cargas cambian todo el tiempo. Este gráfico muestra el número de nuevos ejecutables de carga únicos del Emotet observados por SophosLabs durante las dos últimas semanas de enero de 2019. N.º de ejecutables de carga únicos del Emotet observados por SophosLabs 375 388 343 414 208 393 338 270 179 214 125 248 751 119 129 Enero 2019 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. Como se puede ver, hay literalmente cientos de versiones a diario. De hecho, SophosLabs observa de media unos 300 ejecutables de carga únicos nuevos todos los días, y ha observado casi 4500 ejecutables de carga únicos (4494 concretamente) solo en los últimos 15 días de enero. Alcance global Si bien el Departamento de Seguridad Nacional de los EE. UU. considera el Emotet como una de las amenazas más costosas y destructivas que existen, el Emotet no se limita a los Estados Unidos. El siguiente gráfico de SophosLabs muestra los países más afectados por el Emotet: cuanto más cerca del rojo, más alto el número de ataques.
  • 4. Monográficos de Sophos Febrero de 2019 4 Emotet: Más peligroso que el WannaCry y más difícil de detener Alcance geográfico del Emotet. Fuente: SophosLabs SophosLabs ha observado el Emotet en prácticamente todas las regiones, pero los objetivos más populares son Norteamérica y Sudamérica, Europa del Norte y Occidental, Turquía, Australia, el Sudeste Asiático, China, la India y Pakistán. Si bien África y Europa del Este no se ven tan afectados actualmente, no vaya a pensar que no tiene de qué preocuparse en estas regiones. Los ciberdelincuentes detrás del Emotet son rápidos a la hora de aprovechar nuevas oportunidades y no sabemos adónde se dirigirán a continuación. Empieza con spam El Emotet suele llegar como parte de una campaña de spam. Los correos electrónicos le incitan a hacer clic en un documento malicioso. Originalmente, el spam del Emotet se distribuía a través de documentos maliciosos adjuntos a correos electrónicos, pero ahora lo que incluyen estos mensajes son enlaces a documentos maliciosos alojados en sitios web. La ingeniería social y la falsificación de marcas son algunas de las técnicas utilizadas en el spam del Emotet; entre las marcas utilizadas habitualmente se encuentran Amazon, PayPal y AT&T. Ejemplo de correo electrónico de spam del Emotet. Fuente: SophosLabs
  • 5. Monográficos de Sophos Febrero de 2019 5 Emotet: Más peligroso que el WannaCry y más difícil de detener Los (muchos) objetivos del Emotet ¿Qué hace el Emotet? Desafortunadamente, la respuesta es que hace muchas cosas. Una vez dentro del ordenador, el Emotet intenta lo siguiente: 1. Propagarse a tantos ordenadores como sea posible. Es un gusano, por lo que puede propagarse sin intervención del usuario. Se desplaza de un ordenador infectado a otro a través de la red. 2. Enviar correos electrónicos maliciosos para infectar otras empresas. 3. Descargar una carga de malware. Tradicionalmente, las cargas han sido sobre todo troyanos bancarios, siendo el TrickBot uno de los más frecuentes. Su carga inyecta código en el navegador para sacar dinero automáticamente de su banco o cuenta de PayPal la próxima vez que inicie sesión. 4. Algunas variantes del Emotet extraen direcciones de correo electrónico y nombres de datos y archivos de clientes de correo electrónico, probablemente para que puedan venderse como parte de una lista más amplia y utilizarse para propagar más spam malicioso. 5. Otros inspeccionan el navegador web para robar historiales y nombres de usuario y contraseñas guardados. 6. Por si fuera poco, el Emotet también puede ser una cortina de humo para ataques de malware dirigidos. Mientras las empresas se ocupan de las infecciones del Emotet, algunos programas de ransomware como el BitPaymer aprovechan la distracción para hacerse con su datos. Ser una cortina de humo para el ransomware dirigido Enviar spam para infectar otras empresas Propagarse a través de la red Descargar cargas de malware Robar historiales de navegadores, nombres de usuario y contraseñas Extraer direcciones de correo electrónico y nombres Las actividades del Emotet son sumamente dañinas para las empresas afectadas. Estas son algunas de las repercusiones: • Costes financieros y operativos del troyano bancario • Perjuicios para la reputación del remitente por la distribución de spam malicioso • Costes e implicaciones de cumplimiento de una filtración de datos por la información de contacto perdida • Infracción de seguridad por la pérdida de nombres de usuario y contraseñas • Potencialmente, costes financieros de un ataque de ransomware dirigido Así pues, no es de extrañar que las infecciones del Emotet hayan costado a las organizaciones gubernamentales de EE. UU. hasta 1 millón de USD por incidente resuelto.2
  • 6. Monográficos de Sophos Febrero de 2019 6 Emotet: Más peligroso que el WannaCry y más difícil de detener Defenderse del Emotet con Sophos Para protegerse de una amenaza sofisticada como el Emotet, necesita las mejores tecnologías de protección avanzadas que existan. Y esto es exactamente lo que ofrece Sophos, tanto en el endpoint como en la red. Para saber cómo tiene que protegerse contra el Emotet, es importante entender cómo funciona el ataque. Ciber- delincuente 1. Infiltrarse Correo electrónico de spam 2. Llamar a casa Darpartedeléxito Obtenerinstrucciones ycarga 4A. Robar datos Cargar direcciones de correo electrónico, nombres de usuario y contraseñas 4B. Ataque de bots Enviar spam para infectar otras empresas Servidores de C y C Destino 4C. Carga Instalar troyano bancario Instalar ransomware 3. Propagarse Propagarse a otros sistemas de la red Sophos le protege del Emotet de varias maneras y en todos los puntos de la cadena de ataque, desde evitar la entrada inicial de la amenaza en la red hasta impedir que se propague a otras partes de la red. Así se bloquea la comunicación con el sitio de origen y el robo de datos y se impide la instalación de las cargas.
  • 7. Monográficos de Sophos Febrero de 2019 7 Emotet: Más peligroso que el WannaCry y más difícil de detener Evite que el Emotet infecte sus endpoints El Emotet realiza múltiples acciones en el endpoint para llevar a cabo su ataque, como puede ver en el siguiente ejemplo de una cadena de ataque de enero de 2019. 1. El usuario recibe un correo electrónico malicioso (malspam). 4. La macro utiliza CMD (línea de comandos) para ejecutar código malicioso oculto. 7. PowerShell se conecta a una dirección IP y descarga un archivo llamado 431.exe. 2. El usuario hace clic en un archivo adjunto malicioso: un documento llamado rgnr-a- vr111205-85.doc. 5. CMD inicia una segunda copia de CMD. 8. PowerShell ejecuta 431.exe. 3. El usuario habilita macros maliciosas en el documento. 6. La segunda copia inicia Microsoft PowerShell. 9. Sophos HIPS detectó que PowerShell se conectaba a una dirección IP sospechosa y descargaba un ejecutable de reputación desconocida y bloqueó este comportamiento. Intercept X Advanced with EDR cuenta con numerosas tecnologías para impedir que el Emotet libere su carga. Ofrece las distintas capas de protección que necesita para defenderse de una amenaza de tan rápida evolución y tan sofisticada como el Emotet. • Entrega. La protección web impide la entrega del correo electrónico malicioso. • Explotación. Para detener la ejecución del exploit se utilizan mitigaciones antiexploits (código/ memoria/APC), bloqueo de aplicaciones, mitigación de privilegios locales y control de aplicaciones. • Instalación. El Deep Learning y HIPS bloquean la instalación del malware. • Comando y control. La Detección de tráfico malicioso (MTD) detiene la comunicación con el servidor de comando y control para impedir que la amenaza reciba instrucciones. • Acción sobre el objetivo. Para evitar que el Emotet logre sus objetivos se utiliza protección antiransomware y contra el robo de credenciales, HIPS en tiempo de ejecución y RCA.
  • 8. Monográficos de Sophos Febrero de 2019 8 Emotet: Más peligroso que el WannaCry y más difícil de detener Con una amenaza que cambia y evoluciona tan rápidamente como el Emotet, es fundamental poder predecir lo que va a pasar a continuación y bloquear variantes que no se hayan observado antes. Las funciones de Deep Learning de Intercept X permiten hacer exactamente esto, es decir, adelantarse a las nuevas amenazas antes de que se distribuyan. No sabemos cómo será el Emotet la próxima semana o el próximo mes, pero la tecnología predictiva que bloquea las amenazas desconocidas le ofrece la mejor garantía posible de cara al futuro. La detección y respuesta para endpoints (EDR) es una parte importante de la defensa efectiva contra el Emotet. Como hemos visto, el Emotet no es el típico malware. Es muy persistente. Las funciones de EDR de Intercept le permiten contestar algunas preguntas difíciles: • ¿Qué ha ocurrido? • ¿Qué se ha visto afectado? • ¿Hemos perdido datos? • ¿Queda alguna amenaza latente? Evite que el Emotet entre en su red No existe ninguna fórmula infalible para impedir que el Emotet acceda inicialmente a su red. XG Firewall incluye un completo paquete de tecnologías de protección que tienen un papel importante en la defensa contra el Emotet y que le ofrecen de forma conjunta la mejor protección posible. Asimismo, todo se gestiona desde una única pantalla mediante una regla de firewall, de modo que puede ver fácilmente la seguridad que ha aplicado a una conexión o tipo de tráfico concretos. Protección web y del correo electrónico Espacios seguros Sistema de prevención de intrusiones Control de aplicaciones Protección contra amenazas avanzadas Seguridad Sincronizada
  • 9. Monográficos de Sophos Febrero de 2019 9 Emotet: Más peligroso que el WannaCry y más difícil de detener Protección del correo electrónico: bloquea el spam del Emotet tanto entrante como saliente, sirviéndose de la información sobre amenazas de SophosLabs para identificar los correos electrónicos maliciosos. Espacios seguros de Sophos Sandstorm: le ofrecen la mejor protección contra amenazas emergentes basadas en archivos y de día cero. Los instaladores de malware del Emotet son un ejemplo perfecto de los tipos de amenazas que está diseñado para identificar Sandstorm. Sandstorm cuenta con la mejor tecnología de Intercept X que actúa en el espacio seguro virtual en la nube, tecnología como la detección de exploits, la protección antiransomware y el Deep Learning. En el caso del Emotet, Sandstorm identificará: • firmas de memoria del Emotet; • comportamientos maliciosos en documentos de Office asociados al Emotet; • usos maliciosos de PowerShell; • intentos de conexión con direcciones URL de alto riesgo, • y, por supuesto, cualquier comportamiento malicioso manifiesto. Una de las ventajas de Sandstorm es que puede ejecutarse de forma más agresiva que el típico análisis de endpoints porque no tiene en cuenta el rendimiento de los usuarios, y es sumamente efectivo. Prevención de intrusiones (IPS): también debe ser un elemento fundamental de las defensas de su red. IPS es el equivalente de red de la detección de exploits. Examina el tráfico de red en busca de exploits o de cualquier paquete que contenga código que forme parte de un ataque. Sophos IPS puede detectar exploits contra vulnerabilidades de sistemas operativos, pilas de red, servidores, endpoints, navegadores y aplicaciones, entre otros. Por ejemplo, TrickBot, una carga común distribuida por el Emotet, utiliza la misma vulnerabilidad de SMB que el WannaCry para propagarse por las redes y que IPS detecta y bloquea fácilmente. IPS es especialmente útil en situaciones en que un endpoint no gestionado accede a la red con algún tipo de infección que luego empieza a conectarse con otros sistemas de la red. IPS identificará y bloqueará estos intentos. El motor de Sophos IPS es de los mejores del sector; se clasificó como uno de los tres primeros en materia de efectividad de la seguridad y rendimiento en una prueba reciente de NSS Labs.
  • 10. Monográficos de Sophos Febrero de 2019 10 Emotet: Más peligroso que el WannaCry y más difícil de detener Impida al Emotet comunicarse y robar datos XG Firewall también incluye tecnologías para ayudar a evitar que una amenaza como el Emotet robe datos o se comunique con el exterior. La función Protección contra amenazas avanzadas (ATP) supervisa todo el tráfico que abandona el firewall en busca de señales de comunicación con servidores de malware, servidores de comando y control y sistemas de hackers, e identifica el equipo y la amenaza instantáneamente. Nuestra enorme base de datos de servidores de hackers y comando y control conocidos es mantenida por SophosLabs y actualizada constantemente a través de Live Cloud, a fin de garantizar que podemos identificar incluso las variantes más recientes de amenazas como esta que intenten comunicarse con su sitio de origen. Esto le ahorra muchísimo tiempo a la hora de determinar dónde está la amenaza, además de permitirle limpiarla con rapidez.   Incremente su protección contra el Emotet con la Seguridad Sincronizada Intercept X protege sus endpoints del Emotet, mientras que XG Firewall mantiene segura su red. De forma individual, ofrecen la mejor protección que existe. Y juntos llevan la protección a un nivel sin precedentes al que ni siquiera se acercan los demás proveedores. Es lo que llamamos Seguridad Sincronizada. Con la Seguridad Sincronizada, los productos de Sophos funcionan de forma conjunta para identificar y contener amenazas como el Emotet. Todo se hace automáticamente, sin intervención, en cuestión de segundos. Intercept X y XG Firewall comparten información sobre seguridad en tiempo real a través de Security Heartbeat™ y responden automáticamente gracias a las políticas dinámicas del firewall.
  • 11. Monográficos de Sophos Febrero de 2019 11 Emotet: Más peligroso que el WannaCry y más difícil de detener Respuesta sin intervención al Emotet Detección de malware Intercept X detecta la ejecución del Emotet Restablecimiento del acceso XG restablece el acceso a la red. Investigaciones guiadas para proporcionar una vista detallada de lo ocurrido Comunicación entre múltiples entornos Intercept X indica a XG Firewall en qué ordenadores ha detectado el Emotet Aislamiento de dispositivos XG Firewall aísla al instante los ordenadores infectados por el Emotet. • Aislado del mundo exterior • Aislado de otros endpoints Limpieza Intercept X limpia la infección de forma automática. Una vez que se ha eliminado el Emotet, Intercept X comparte esta actualización con XG Firewall 1 2 3 45 Si Intercept X detecta el Emotet, alerta a XG Firewall, que entonces aísla instantáneamente el ordenador, tanto del mundo exterior como de otros endpoints, incluso si se encuentran en el mismo segmento o conmutador de red, para impedir la propagación lateral. También funciona a la inversa: si XG Firewall detecta el Emotet o una de sus cargas, como el TrickBot, a través de IPS o ATP, informa al endpoint y aísla directamente el ordenador infectado de forma automática. En ambos casos, aparecerá un indicador instantáneo en el centro de control de XG Firewall que identifica el ordenador, al usuario e incluso el proceso y la amenaza, automáticamente, sin que tenga que hacer nada.
  • 12. Monográficos de Sophos Febrero de 2019 12 Emotet: Más peligroso que el WannaCry y más difícil de detener Prácticas recomendadas para bloquear el Emotet Proteja TODOS sus ordenadores. Aplique los parches con prontitud y frecuencia. Bloquee PowerShell por defecto. Sus tecnologías de protección deben ir de la mano de las prácticas recomendadas para defender su empresa del Emotet. Sophos recomienda que todo el mundo siga estos tres pasos: 1. Proteja TODOS sus ordenadores Los ordenadores desconocidos no protegidos dan al Emotet un lugar en el que ocultarse y adaptarse, lo que empeora notablemente una situación ya de por sí mala. Aunque actualmente el Emotet se encuentre confinado a un ordenador desprotegido por el software de seguridad de los otros equipos, no cejará en su intento de liberarse. Y como se actualiza tan a menudo, presenta nuevos desafíos continuamente. Cuando más tiempo se le permita persistir en esas maquinaciones, mayor es el riesgo de que una actualización del Emotet o un cambio de carga encuentre una fisura en su coraza que le permita escapar y propagarse por la red. Ejecute una herramienta de escaneado de red (como Advanced IP Scanner) y compruebe que no tiene ordenadores desprotegidos en su red. Muchas empresas han descubierto el Emotet afincado en un equipo del que ni siquiera eran conscientes y que, por tanto, no habían protegido. 2. Aplique los parches con prontitud y frecuencia Puede que le parezca el consejo más antiguo de la historia, pero esto no lo hace menos importante. El Emotet es una pasarela para otro malware, de modo que contener un ataque del Emotet no solo significa detener el Emotet, sino detener también todo aquello que lo acompañe. Como no sabe de qué va a tratarse, debe tomar las mejores precauciones que le permitan sus posibilidades, y esto incluye aplicar parches para vulnerabilidades conocidas. El EternalBlue es el exploit que el WannaCry y el NotPetya hicieron famoso en 2017. A pesar de todos los titulares, y casi dos años después de que Microsoft publicara parches para protegerse contra él, el TrickBot (la carga más comúnmente propagada por el Emotet) sigue aprovechándose de este exploit. 3. Bloquee PowerShell por defecto Como hemos visto en la cadena de ataque anteriormente, los ataques del Emotet suelen utilizar PowerShell. Le recomendamos que empiece asumiendo que nadie lo necesita (incluidos los administradores) y que luego lo desbloquee únicamente para las personas que realmente necesiten PowerShell para realizar sus funciones. Y asegúrese de bloquear PowerShell, en lugar de solo establecer una política para deshabilitarlo. Las políticas pueden eludirse, de modo que es necesario que incluya PowerShell en la lista de bloqueo. (En los productos de Sophos, la función para hacerlo es Control de aplicaciones).
  • 13. 07/02/2019 WP-ES (NP) Emotet: Más peligroso que el WannaCry y más difícil de detener © Copyright 2019. Sophos Ltd. Todos los derechos reservados. Constituida en Inglaterra y Gales bajo el número de registro 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios. Conclusión El Emotet es un poderoso enemigo que deja un rastro de devastación a su paso. Para detener una amenaza de este tipo, necesita unas defensas avanzadas en cada punto de la infraestructura de seguridad. Sophos le proporciona la mejor defensa posible contra el Emotet: • Protección avanzada de eficacia probada en el endpoint y el firewall • Aislamiento y limpieza de amenazas únicos y sin intervención con Seguridad Sincronizada • Tecnologías de Deep Learning para mitigar el riesgo de una futura evolución del Emotet Al combinar las tecnologías de protección avanzada de Sophos con las prácticas recomendadas, contará con la mejor protección posible contra el Emotet. Contáctanos: Tel: (+52) 55 2455-3254 Lada sin costo 01 800 087 3742 Ventas: ventas@idric.com.mx / sophos@idric.com.mx Soporte: 911@idric.com.mx Marketing: bfacundo@idric.com.mx Renovaciones: renovaciones@idric.com.mx ¡Descarga tu prueba gratuita!