Emotet desaparece, finalmente, de los sistemas afectados

Ya han pasado unos meses desde la caída de Emotet que, como ya te contamos aquí, supuso el final para una de las mayores redes de bots que se han conocido en la historia. Una red nacida en 2014 y que ya desde sus inicios dio señales de tratarse de un duro rival para las soluciones de seguridad de la época. Su polimorfismo, sumado a la constante evolución que experimentó durante sus años de vida, provocaron que fuera acertadamente definida como la botnet más peligrosa de la década pasada.

Todo terminó con una operación internacional en la que, de la mano de Europol y Eurojust, participaron las autoridades de Alemania, Canadá, Estados Unidos, Francia, Lituania, Países Bajos, Reino Unido y Ucrania. Y era imprescindible una gran coordinación, puesto que el objetivo de esta operación fueron los servidores de comando y control de Emotet, es decir, los sistemas a los que se conectaban todos los bots para recibir sus tareas, obtener cargas útiles, etcétera.

Dicho de otra manera, con la operación de febrero los equipos afectados por el malware de Emotet siguieron teniendo el malware, pero los servidores con los que eran controlados dejaron de estar operativos, por lo que en la práctica ningún sistema afectado ha vuelto a ver su seguridad comprometida o a participar en acciones ilícitas (sin el conocimiento de su propietario) siguiendo las órdenes recibidas desde los servidores abatidos en febrero.

No obstante, aunque el riesgo tras la caída de los servidores de Emotet era mínimo, los bots seguían estando infectados por el malware, y esto en sí mismo ya es algo poco recomendable. Pero es que, además, hay que tener en cuenta que la operación policial acabó con la infraestructura de servidores de Emotet, pero no con sus operadores, el grupo TA542. No parecía probable, pero tampoco se podía descartar que encontraran la manera de replicar su red de servidores para recobrar el control sobre todos los sistemas afectados.

Y sí, hablo en pasado porque, según podemos leer en Bleeping Computer, la agencia de policía federal alemana Bundeskriminalamt (BKA) dio por conclusa ayer la fase de desinfección de los sistemas afectados. En días anteriores, los sistemas afectados por el malware de Emotet recibieron, desde la red de servidores de mando y control, un archivo denominado EmotetLoader.dll y que elimina los servicios asociados en Windows y modifica automáticamente las claves del Registro, acabando así con la persistencia del patógeno.

Así, de manera silenciosa, ayer 25 de abril, todos los sistemas infectados firmaron, de manera silenciosa, su despedida de la botnet que tantos años llevaba operando. Si es cierto que algunos investigadores afirman que no se ha eliminado el 100% de los componentes del malware, pero aún así sí que se han eliminado sus elementos de persistencia, así como su posibilidad de conectarse a la red a la espera de órdenes. Por lo tanto, ahora ya sí que podemos decirlo, Emotet ha muerto, una maravillosa noticia.

La entrada Emotet desaparece, finalmente, de los sistemas afectados es original de MuySeguridad. Seguridad informática.