Black Lotus Labs, el brazo operativo de investigaciones de CenturyLink, revela tácticas no documentadas utilizadas por la botnet de spam Emotet para ocultarse y propagarse, mientras que sus operadores han cambiado el foco para ofrecer su botnet como servicio a otros actores maliciosos.

A través de una compleja infraestructura escalonada de comando y control (C2), esta botnet globalmente distribuida es una de las botnets de spam más prolíficas que operan en la actualidad.

Emotet demuestra la evolución constante de los operadores de botnet y la red de dispositivos infectados en los que se apoya para llevar a cabo sus actividades delictivas en internet.

Parte del peligro de Emotet reside en su capacidad de penetración. “Durante los seis últimos meses, hemos identificado, en promedio, 40,000 bots exclusivos de Emotet por día”, comenta Mike Benjamin, director de Black Lotus Labs. A través de la visibilidad de nuestra red y análisis de avanzada, CenturyLink puede identificar y reaccionar ante amenazas sofisticadas como Emotet.

Aprendizajes clave:

• La estructura de comando de Emotet ha evolucionado para utilizar terminales infectadas (bots) como otra capa de jerarquía. Estas Bot C2s representaron el 80% de los C2s en 2019.
• Durante los últimos 30 días, más de 17,000 direcciones IP exclusivas de bots asociadas con los C2 de Emotet también fueron asociadas con C2 de Trickbot.
• Usando análisis de red, Black Lotus Labs puede observar a medida que las botnets de Emotet cambian a nuevos C2, a veces incluso antes de que sean distribuidas.
• Sólo durante el mes de mayo de 2019, Black Lotus Labs identificó y validó 310 direcciones IP exclusivas de C2.
• Emulando el protocolo para validar el C2 de Emotet, Black Lotus Labs identificó C2 de Emotet siete días antes que otras fuentes.
• Debido a la compleja y rápidamente cambiante infraestructura de Emotet, Black Lotus Labs continúa trabajando con pares de la industria para mantener actualizados a nuestros clientes y protegerlos de esta amenaza.