Con un par de operaciones casi simultáneas en las últimas horas, diversos cuerpos policiales han conseguido asestar un importante golpe a las operaciones criminales detrás tanto del malware Emotet como del ransomware NetWalker.

cbxcode

 

Bajo el seudónimo de “Operation Ladybird” se engloba la operación contra el malware Emotet. Policías de hasta ocho países consiguieron este pasado martes desarticular gran parte de la infraestructura de control del malware, especialmente en Ucrania donde se han llevado a cabo diversas detenciones.

Emotet está considerado uno de los malwares más dañinos de los últimos años no tanto por sus efectos directos sino porque ha venido siendo utilizado como servicio de alquiler a terceros cibercriminales para lanzar a través de sus víctimas ataques de spam y en ellas mismas troyanos bancarios o ransomware cómo TrickBot o Ryuk.

Además y gracias al constante flujo de ganancias, es un malware en constante evolución que ha ido siempre mejorando sus capacidades de ofuscación, persistencia y despliegue incluyendo incluso capacidades para propagarse a través de redes Wi-Fi abiertas cercanas a nuevas víctimas.

Cerca de 700 servidores de control han sido tomados bajo control en esta operación provocando que los millones de máquinas infectadas no sigan recibiendo instrucciones por parte de los ciber criminales. También se ha podido incautar una gran cantidad de información incluyendo los correos electrónicos de las víctimas (recordemos que Emotet se propaga a través de adjuntos maliciosos en correos electrónicos) y se ha puesto en marcha un servicio que nos permite buscar si nuestra dirección existe en esa base de datos lo cual supondría probablemente estar infectado. Podeis comprobarlo en este link

Limpiando Emotet

Además este link, la policía de los Países Bajos ha introducido una actualización de software en los servidores incautados con el fin de que el proximo dia 25 de Abril estos comiencen a servir un “parche” a todas las máquinas infectadas para poner en cuarentena este malware.

De todas maneras no hay que creer a ciegas que esta operación represente el final de Emotet, ya que a buen seguro en estos mismos momentos están trabajando para conseguir más infectados contra otros c&c, por lo que mantener un alto grado de alerta con cualquier archivo recibido sigue siendo crucial.

Golpe a NetWalker

Por otra parte tenemos una operación conjunta de las policías estadounidenses y búlgaras en este caso para la incautación de web que funcionaba como base de operaciones para los cibercriminales detrás del ransomware NetWalker y sus afiliados y en la que publicaban datos robados a las víctimas, además de coordinar y repartirse los pagos de los chantajes que solo el año pasado superan los 45 millones de dólares.
NetWalker, se había convertido también en un servicio de alquiler RaaS (Ransomware as a service) además de abrazar la nueva táctica en muchos ransomware de la doble extorsión. No sólo te exijo un pago para recuperar tus archivos si no que si no lo haces, los publicaré

Fuente Operation Ladybird
Fuente NetWalker