En el caso de Emotet, los investigadores de seguridad encontraron un código de error que les permitió instalar un interruptor de interrupción que hizo imposible la propagación. El interruptor de apagado entró en vigencia, deteniendo a Emotet del 6 de febrero de 2020 al 6 de agosto de 2020. Después de eso, Emotet actualizó el código fuente, lo corrigió y continuó distribuyéndolo.
Emotet es un código malicioso muy peligroso que se propaga a través del sistema de correo electrónico no deseado controlado por botnets. Después de infectar el sistema de la víctima, Emotet puede cometer una serie de actos destructivos, incluido el robo de información y la implementación de ransomware para cifrar los datos importantes de la víctima y luego el rescate.
¿Cómo se crea el kill-switch de Emotet?
Emotet apareció por primera vez en 2014 y se actualiza continuamente con nuevas funciones y métodos de ataque. A principios de febrero, la nueva actualización de Emotet agregó una forma de aprovechar los dispositivos infectados para propagarse a dispositivos WiFi compartidos cercanos.
También en esta actualización, Emotet agregó un nuevo mecanismo de retención. Crea un archivo para almacenar el código malicioso en el sistema de la víctima, utilizando un nombre de archivo de sistema aleatorio con la extensión .exe o .dll del directorio system32.
El malware Emotet tiene un error
Basado en este mecanismo, Binary Defense creó un interruptor de interrupción para limitar la propagación de Emotet. La primera versión del interruptor de interrupción se lanzó aproximadamente 37 horas después de que se implementó la actualización de Emotet. Los investigadores utilizaron scripts de PowerShell para generar valores de clave de registro para cada víctima y establecer los datos para que esos valores fueran nulos.
Por lo tanto, cuando el código malicioso escanea el registro en busca de un archivo para infectar otros equipos, carga un archivo exe vacío. Por lo tanto, el código malicioso no se puede implementar en otras máquinas.
EmoCrash
Quinn incluso creó una versión actualizada del kill switch llamada EmoCrash. Según la descripción de Quinn, EmoCrash puede aprovechar la vulnerabilidad de desbordamiento de caché descubierta en el proceso de instalación de Emotet para evitar el proceso de instalación de Emotet y ayudar a prevenir este malware de manera más efectiva.
En lugar de restablecer el valor del registro, EmoCrash redefine la arquitectura del sistema para crear el valor de configuración del registro para el número de serie de la unidad, usándolo para almacenar un búfer de 832 bytes.
Este pequeño búfer puede destruir un Emotet e incluso puede preimplantarse como vacuna o implantarse tan pronto como Emotet se esté propagando. EmoCrash se implementó discretamente en sistemas y organizaciones en riesgo de ser atacados por Emotet en abril de 2020.
El 17 de julio de 2020, Emotet comenzó a reinicializar el sistema de correo no deseado malicioso después de unos meses de intentar evitar ser detenido. Sin embargo, no fue hasta el 6 de agosto de 2020 que este código malicioso corrigió por completo su código de error.
Ahora, con la nueva versión de Emotet, el método de contención de los investigadores de seguridad de Binary Defense ya no está en vigor. Sin embargo, según Quinn, tuvieron mucho éxito en evitar que Emotet se propagara durante seis meses.
Los expertos recomiendan que los usuarios no hagan clic en enlaces o archivos adjuntos en correos electrónicos enviados por usuarios extraños. Además, los archivos adjuntos y correos electrónicos enviados por conocidos también deben analizarse en busca de virus antes de hacer clic.
emotet