El troyano Emotet recientemente echó de ser una gran amenaza de ciberseguridad a un hazmerreír cuando sus cargas útiles fueron reemplazadas por GIF animados inofensivos. Aprovechando una debilidad en la forma en que se almacenaron los componentes de malware Emotet, los hackers de sombrero blanco se vistieron con sus máscaras de vigilante y sabotearon las operaciones de la autora ciberamenaza recientemente revivida. Si bien es muy eficaz, así como algo humorístico, el incidente no debería distraer la atención de dos verdades inevitables.
En primer lugar, mientras que la broma desactivada alrededor de una cuarta parte de todas las descargas de carga útil de malware Emotet, la botnet sigue siendo una amenaza muy real, en curso y un vector principal para ataques como ransomware. Y en segundo lugar, depender de operaciones puntuales por parte de vigilantes caprichosos no es una estrategia de seguridad sostenible. Para mantener las redes de bots Emotet activas restantes —e innumerables otras amenazas cibernéticas— fuera de su entorno, las organizaciones necesitan confiar en medidas más robustas y confiables basadas en la interceptación SSL (inspección SSL)y el descifrado SSL.
¿Qué es Emotet Malware (también conocido como Emotet De Troya) y es una amenaza?
A pesar de las contramedidas de sombrero blanco, el malware emotet es una de las amenazas más importantes que enfrentan las empresas hoy en día. Antes de ir temporalmente inactivo en febrero de 2020, la botnet Emotet había sido la operación de ciberdelincuencia más grande y activa del mundo, como se ve a continuación.
El método que utilizó era simple y demasiado familiar: correos electrónicos no deseados dirigidos a los usuarios con enlaces aparentemente relacionados con el negocio o archivos adjuntos de Word que en realidad contenían macros maliciosas diseñadas para descargar e instalar el troyano Emotet en el dispositivo del usuario. Después de haber conectado a un servidor de comando y control troyano Emotet, el dispositivo serviría entonces como un conducto para ransomware u otros exploits, incluyendo Qbot, IcedID, Gootkit, y el truco.
Después de varios meses sin incidentes, el troyano Emotet resurgió repentinamente con una oleada de actividad a mediados de julio de 2020. Esta vez, el reinado de terror de la botnet dio un giro inesperado cuando las cargas útiles en las que sus operadores habían almacenado – sitios de WordPress mal asegurados – fueron reemplazadas por una serie de GIF populares. En lugar de ser alertados de un ciberataque exitoso, los objetivos respectivos no recibieron nada más alarmante que una imagen de Blink 182, James Francoo Hackerman.
Todo es en buena diversión … A esta hora. Pero la pregunta sigue siendo: ¿y si los sombreros blancos hubieran dejado sus máscaras en el cajón en lugar de tomar el troyano Emotet? ¿Y qué pasa con los innumerables otros ataques de malware que continúan sin obstáculos, entregando sus cargas útiles según lo previsto?
Vista en el punto ciego de cifrado con interceptación SSL (inspección SSL)
Los ataques de malware como Emotet a menudo se aprovechan de un defecto fundamental en la seguridad de Internet. Para proteger los datos, la mayoría de las empresas dependen rutinariamente del cifrado SSL o el cifrado TLS. Esta práctica es muy eficaz para evitar que la suplantación de estado, los ataques de tipo «man-in-the-middle» y otras vulnerabilidades comunes comprometan la seguridad y la privacidad de los datos. Desafortunadamente, también crea un escondite ideal para los hackers. Para los dispositivos de seguridad que inspeccionan las comunicaciones entrantes en busca de amenazas, el tráfico cifrado aparece como un galimatías, incluido el malware. De hecho, más de la mitad de los ataques de malware vistos hoy en día están utilizando algún tipo de cifrado. Como resultado, el punto ciego de cifrado SSL termina siendo un agujero importante en la estrategia de defensa de la organización.
La forma más obvia de abordar este problema sería descifrar el tráfico a medida que llega para habilitar la inspección SSL antes de pasarlo a su destino dentro de la organización, un enfoque conocido como interceptación SSL. Pero aquí también surgen problemas. Por un lado, algunos tipos de datos no se permiten descifrar, como los registros de pacientes médicos regidos por estándares de privacidad como HIPAA, haciendo que el descifrado SSL general no sea adecuado. Y para cualquier tipo de tráfico, el descifrado SSL puede degradar en gran medida el rendimiento de los dispositivos de seguridad al tiempo que aumenta la latencia de la red, los cuellos de botella, el costo y la complejidad. Multiplique estos impactos por el número de componentes de la pila de seguridad empresarial típica (DLP, antivirus, firewall, IPS e IDS) y el problema se vuelve claro.
El producto de inspección SSL de A10 Networks salva el día
A10 Networks Thunder® SSL Insight (SSLi®) elimina el punto ciego de cifrado SSL para permitir una interceptación SSL eficaz. En lugar de depender del descifrado SSL distribuido por salto, las organizaciones pueden usar una única solución Thunder SSLi para descifrar el tráfico una vez, permitir la inspección SSL por tantos dispositivos de seguridad independientes como sea necesario en tándem y, a continuación, volver a cifrarlo una vez a la salida de la red. Para garantizar el cumplimiento normativo, la solución también permite que las directivas de descifrado SSL omitan selectivamente el tráfico de páginas web y dominios específicos, a la vez que se asegura de que todo lo demás se descifra.
Deberíamos celebrar el trabajo de los sombreros blancos que sacudió a Emotet. No todos los días una ciberamenaza letal se convierte en una cuestión de ligereza. Pero después de haber tenido una buena risa a su costa, debemos centrar nuestra atención en asegurarnos de que ataques como Emotet no tengan manera de tener éxito en el futuro, sin la necesidad de contar con la justicia vigilante.
Fuente: Blog A10 Networks