Microsoft: El malware Emotet apaga toda una red al sobrecalentar PCs

El equipo de Detección y Respuesta (DART) del Grupo de Soluciones de Ciberseguridad de Microsoft dijo el jueves que toda la red de TI de su cliente fue apagada por computadoras sobrecalentadas debido a un malware Emotet después de que uno de sus empleados fue engañado para abrir un archivo adjunto de un correo electrónico de phishing.

El malware infectó los sistemas de Fabrikam (un nombre falso utilizado por Microsoft para la víctima en su estudio de caso) al robar las credenciales de la cuenta de administrador que se autenticaba en nuevos sistemas.

Luego realizó movimientos laterales al infectar otros sistemas en la misma red. El virus congeló servicios centrales al maximizar el uso de CPU en dispositivos Windows.

También lee - El malware Emotet puede propagarse a través de redes Wi-Fi

“Estamos contentos de compartir el Informe de Caso DART 002: Apagón Operacional Completo. En el informe 002, cubrimos un compromiso real de respuesta a incidentes donde un malware polimórfico se propagó a través de toda la red de una organización”, dice el anuncio de Microsoft DART.

“Después de que un correo electrónico de phishing entregó Emotet, un virus polimórfico que se propaga a través de recursos compartidos en red y protocolos heredados, el virus apagó los servicios centrales de la organización. El virus evitó la detección por soluciones antivirus a través de actualizaciones regulares de una infraestructura de comando y control (C2) controlada por el atacante, y se propagó a través de los sistemas de la empresa, causando interrupciones en la red y apagando servicios esenciales durante casi una semana.”

Según Microsoft, Fabrikam llamó a DART ocho días después de que el empleado abriera el correo electrónico de phishing. Para entonces, todas las operaciones de TI de Fabrikam se habían detenido, incluida la red de 185 cámaras de vigilancia debido al malware Emotet.

Los expertos observaron que las PCs estaban sobrecalentándose, congelándose y reiniciándose debido a pantallas azules, mientras que las conexiones a Internet se estaban ralentizando ligeramente debido a que Emotet consumía todo el ancho de banda.

“Cuando la última de sus máquinas se sobrecalentó, Fabrikam supo que el problema se había salido oficialmente de control. ‘Queremos detener esta hemorragia’, diría más tarde un funcionario”, afirma el informe del estudio de caso de DART.

“Le habían dicho que la organización tenía un sistema extenso para prevenir ciberataques, pero este nuevo virus evadió todos sus firewalls y software antivirus. Ahora, mientras veían cómo sus computadoras mostraban pantallas azules una por una, no tenían idea de qué hacer a continuación.”

El malware utilizó las computadoras comprometidas del empleado para lanzar un ataque de denegación de servicio distribuido (DDoS) y sobrecargar su red.

“Los funcionarios anunciaron que el virus amenazaba todos los sistemas de Fabrikam, incluso su red de 185 cámaras de vigilancia”, dice el informe de DART.

“Su departamento de finanzas no pudo completar ninguna transacción bancaria externa, y las organizaciones asociadas no pudieron acceder a ninguna base de datos controlada por Fabrikam. Era un caos.

“No podían decir si un ciberataque externo de un hacker causó el apagón o si estaban lidiando con un virus interno. Habría ayudado si hubieran podido acceder a sus cuentas de red.

“Emotet consumió el ancho de banda de la red hasta que usarlo para cualquier cosa se volvió prácticamente imposible. Incluso los correos electrónicos no podían pasar.”

Los expertos de Microsoft controlaron con éxito la infección de Emotet utilizando controles de activos y zonas de amortiguamiento que aislaron activos con privilegios de administrador. Eliminando completamente la infección de Emotet después de cargar firmas antivirus y desplegar licencias de prueba de Defender Advanced Threat Protection, Azure Security Scan, Azure Advanced Threat Protection y otras herramientas de detección de malware de propósito especial de Microsoft.

Además, ingenieros inversos en el lugar repararon el Microsoft System Center Configuration Manager, permitiendo que Fabrikam volviera a estar en pie.

Microsoft recomienda a los usuarios utilizar herramientas de filtrado de correo electrónico como Office 365 Advanced Threat Protection (ATP) para detectar y detener la propagación del malware Emotet, así como el uso de autenticación multifactor (MFA) para prevenir tales ataques.