Una de las mayores redes de bots conocida en la historia
Emotet cayo hace unos meses en una operación internacional, en esta participaron
las autoridades de Alemania, Canadá, United States, France, Lithuania, Países
Bajos, Reino Unido y Ucrania, todas ellas lideradas por la Europol y Eurojust.
En esta operación el objetivo final fue los servidores de comando y control de
Emotet, estos sistemas eran los encargados de enviar las tareas a los bots, the
lugar donde los bots obtenían las cargas útiles etc.
En esta operación llevada a cabo en febrero se consiguió tumbar
los servidores de comando y control, aunque el malware seguía estando instalado
en los equipos afectados, por lo que teóricamente ningún sistema afectado tenía
su seguridad comprometida o participaba en acciones ilícitas.
Con estas acciones no estaba eliminado el riesgo total,
debido a que el malware seguía en los dispositivos infectados, therefore, the
grupo de operadores de Emotet, el grupo TA542 (aka Mummy Spider) podría
encontrar la manera de replicar el servidor de comando y control, recobrando el
control sobre todos los sistemas afectados.
Esto se solucionó la semana pasada, donde la agencia de policía
federal alemana empezó a repartir a los sistemas afectados por Emotet un archivo
denominado EmotetLoader.dll, este archivo se encarga de eliminar los servicios asociados
de Windows y modificar automáticamente las claves de registros, finalizando de
esta forma con la persistencia del malware. Esto fue llevado a cabo enviando el
archivo desde la red de servidores de mando y control del propio Emotet.
Los investigadores han informado que no se ha podido eliminar
the 100% de los componentes del malware de los equipos infectados, pero si ha
sido posible eliminar los elementos de persistencia, así como la posibilidad de
conectarse a la red a la espera de órdenes. Con esto podríamos empezar a decir
que Emotet ha comenzado a morir definitivamente.