Desmantelado Emotet, el enemigo público número uno
Emotet estaba considerado el virus más peligroso del mundo. Activo desde 2014, capaz de secuestrar equipos y solicitar un pago a sus víctimas y con un alcance global, se había convertido en un verdadero dolor de cabeza para miles de empresas. En Estados Unidos se estimaba que cada acción de este troyano generaba en las empresas afectadas más de un millón de dólares para resolver la incidencia causada. Por supuesto, también ha campado a sus anchas por España. Pero ahora, finalmente, ha sido desmantelado Emotet, el enemigo público número uno.
Sin ir más lejos, este “malware” fue el más empleado por los cibercriminales durante el pasado mes de diciembre para robar datos a las empresas. Se calcula que afectó a un 15% de las compañías españolas, como podéis comprobar en ESTE INFORME del 7 de enero de Check Point Software Technologies, un proveedor global de soluciones de seguridad informática. En su blog también encontraréis un ranking de las principales familias de malware que esta empresa realiza periódicamente. En diciembre Emotet volvía a estar en el número uno de peligrosidad.
Y decimos “malware” entre comillas, porque emotet, tal como explicamos en un artículo anterior AQUÍ, es un contenedor, que puede aceptar diferentes módulos o “plugins”, para realizar acciones concretas, por zonas, por sistemas, etc…

Una acción global de la policía
Aquí arriba tenéis una interesante infografía de Europol, la Unión Europea para la Cooperación Policial, donde se explica claramente el peligro de Emotet. Tan malicioso era este malware que se ha necesitado una intervención internacional a gran escala para su desmantelamiento. En ella han participado Alemania, Estados Unidos, Países Bajos, Reino Unido, Francia, Lituania, Canadá y Ucrania, bien coordinados por Europol y Eurojust, la agencia de la Unión Europea para la Cooperación Judicial Penal. Las autoridades policiales y judiciales han conseguido tomar el control de su infraestructura y desmantelarlo, poniendo así fin a la red de bots de Emotet.
Una larga historia delictiva
Sin lugar a dudas Emotet ha sido uno de los peligros más complicados de desactivar y más duraderos. En 2014 saltó al primer plano de la ciberseguridad como un troyano bancario. Pero la cosa fue mucho más allá, ya que actuaba como la llave de una cerradura, capaz de abrir las puertas de sistemas informáticos de todo el mundo. Y una vez conseguido esto, la llave se vendía a ciberdelincuentes de alto nivel que desplegaban actividades como robo de datos y extorsión. Mediante un sistema totalmente automatizado, Emotet se difundía a través de documentos de Word adjuntos a un correo electrónico. Por ejemplo, en España, durante la pandemia, se presentaba como facturas, avisos de envío e información sobre la Covid 19.
Pero… ¡estabais advertidos!
Si sois fieles seguidores de este blog, seguramente todo esto os suene ya un poco, porque nos hemos ocupado en varias ocasiones de Emotet. Por ejemplo, en febrero de 2020, cuando os contamos que en la conferencia de la asociación Hackplayers H-Con estuvimos en una conferencia de Markel Picado titulada “Comunicándome con el enemigo: Emotet tracking”. Podéis leer el post AQUÍ.
Incluso tuvimos que glosar la virguería de programación que significaba Emotet. ¡Qué lástima que la gente que es capaz de realizar una programación tan complicada que incluso afectaba a varios cientos de miles de servidores de todo el mundo y con capacidad de propagarse en forma de red descentralizada, usen su sapiencia para el lado oscuro!
Pero donde realmente os contábamos muchas más cosas sobre Emotet, el enemigo público número uno, fue en el artículo publicado el 10 de agosto de 2020 con el título “Contramedidas para Emotet: sustituyen malware por Gif’s”. Incluso os enlazamos con un artículo del Incibe donde se explicaba como limpiar vuestro equipo de este virus.
Bueno, empezamos el año con una muy buena noticia para la ciberseguridad mundial. Y como veis, TECNOideas está a la altura, comme d’habitude. Nos encanta que nos sigáis y os recordamos que ahora tenéis la opción “Deja una respuesta” al final de cada uno de los artículos de este blog. ¡Animaros y dejad vuestras opiniones!
- Publicado en General, Noticias, Seguridad, Sobre TECNOideas
H-C0n, estuvimos allí: Parte-3. Fin.
Bueno, después de comer no nos fue tan bien, no por el primer evento, de Antonio Morales, y su charla 0days for Dummies, un buen repaso a su trabajo de caza bugs, y las recompensas que dan las marcas de software.
Mal, porque queríamos ver en acción a Vicente Aguilera, y sus Técnicas de OSINT con finalidades de investigación, y llegamos con un rato de antelación, pero la sala “dos” era muy pequeña, y ya vimos gente de pie en otros eventos por la mañana.
Entre eso, y que la gente venía más animada por la tarde, pues aforo completo. Esperamos un rato, pero no hubo manera, una verdadera lástima.
Y es que la diferencia del auditorio de 650 personas, a la sala dos, de 120, es bastante grande, y apostando por el OSINT, vimos que desde la primera, se quedó pequeña. Lástima.

Después, otro evento de nuestro interés, con Joel Serna y WHID Elite y Evil Crow cable, tuvo problemas de audio, y se retrasó más de la cuenta en empezar. Nos dio tiempo a ver su dispositivo WHID Elite, super-interesante, y que puedes comprar en Aliexpress. Dejo el link, que detallan las características, y donde tu imaginación es el límite.
Y nos perdimos su exposición del Evil Crow Cable, ya que queríamos ver (nunca nos lo perdemos) a David Marugán y Matrioshka SIGINT: el análisis de señales “ocultas”.
No es porque lo usemos en el día a día de la empresa, sino que los que crecimos hace muchos años sin Internet, donde las únicas y caras opciones eran los módems desde 2400 baudios, las conexiones de datos por radio eran una alternativa.

Así que se quedó en el recuerdo, y en el ADN del que suscribe, y me ha hecho volver la afición a la radio desde hace un par de años, con una emisora de Banda Ciudadana, y otras pruebas “interesantes”.
Un gran nivel todo el fin de semana, lástima de perdernos un par, pero no podíamos estar en todas. Esperemos que repitan el año que viene, para volver sin falta.
- Publicado en Evento
H-C0n, estuvimos allí: Parte-2
Nuevo día en Madrid, muy nublado, pero dentro de La Nave no hay problema con el tiempo.
Esta vez vamos a la Sala pequeña, en el altillo, tan pequeña que hubo charlas que nos perdimos por falta de aforo.
Black Frauday: destapando redes de comercios online en modalidad CTRL-C, CTRL-V., por Iván Portillo / Wiktor Nykiel, fundadores de la Comunidad de Ciberinteligencia GINSEG.
Con un caso práctico de e-commerces fraudulentos, nos explican como llegaron a esa conclusión, e identificaron patrones en ips, agentes registradores, mismo nombre en datos dominio, etc…
Aquí entra análisis de una cantidad de datos muy grande, por lo que nos explicaron que herramientas usan, para que, como… Un desmembramiento total de su investigación, eso es compartir conocimiento.

Pedro Sánchez y Jorge Lamarca, en su charla FORENSICS AGAINST THE CLOCK – FOSS DEVOPS FOR DFIR, nos hablaron de su idea de crear un Framework para análisis forense, aunque también de como se percibe en distintos sectores un análisis forense.
La idea venía por automatizar procesos, repetitivos y de un gran coste por hora, con varias herramientas individuales y opensource. Ver siguiente foto, porque la lista es grande.

Hubo algún cambio de horario, por una charla anulada por enfermedad, y nos tocó correr y preguntar, porque era lo que más nos interesaba de ese día.
El nombre ya lo dice todo Orwell 1984, una plataforma que agrupa varias herramientas de investigación Osint, para concienciar de los datos que la mayor parte de la gente expone, de ellos, de amigos y de familiares, en las redes sociales, e Internet en general.

Tiene una gran potencial de futuro, ya que al nacer con esa idea educativa, parte de un menú con un fácil uso, y con una instalación web en su fase Beta, para que cualquiera pueda trastear sobre el mismo.
La idea parte de @specterj aka Antonio Juanilla y Sergio Hernández, y ya que desde el primer momento nos encantó la idea, esperamos colaborar en todo lo que podamos con ellos, para el desarrollo rápido de esta solución.
Y nos fuimos a comer… contentos por una mañana cargada de conocimiento y buena gente. Terminamos en otro artículo, con la tercera parte.
- Publicado en Evento
H-C0n, estuvimos allí: Parte-1
Como os hemos venido anunciando estos últimos meses, los días 31 de enero y 1 de febrero se celebró en Madrid, La Nave, la conferencia de la asociación Hackplayers H-Con.

Durante dos días hubo charlas, ponencias, talleres, cerveza, y mucha gente, que a veces hizo que nos quedáramos sin sitio en alguna más que interesante.
La primera a la que fuímos, “Comunicándome con el enemigo:Emotet tracking” de Markel Picado.

Una gran explicación de esta gran obra de arte de la programación (bueno, para los infectados no lo será, pero en cuanto a como esta hecha…), Emotet, un malware, que también puede hacer de plataforma para futuros ataques, descargando malware.

Tras la presentación del evento y dos charlas, la cervecita de rigor, de una marca artesana local (había dos ese fin de semana, y probamos las dos, naturalmente).

Seguimos con algo de hardware muy de moda (ya que hubo varias charlas para este colectivo): Automóvil.
TPMS, o sensores de presión de ruedas y temperatura y/o velocidad. Pedro Candel, nos mostró el hardware, las especificaciones, como contactar con ellos a través de ordenador e interfaces de comunicación RFID.
También que no hay acuerdo de estándares entre fabricantes, y que no se le presta la atención debida en Seguridad, aunque demostrado está que “algo” se puede hacer.

Realidad sintética. Automatizando la detección de contenido (Deep) Fake fué la última charla del día. Alfonso Muñoz y José Ignacio Escribano nos contaron su experiencia, larga y diversa en al detección de Fakes.
Desde los generadores altamente realistas de identidades y Startups, a generadores de textos automáticos para contenido.
También como crean un sintetizador de voz muy creíble, imágenes de rostros hiperrealistas, o modificación de videos, a nuestro antojo, para ponerle una cara distinta a los mismos o cuadrarlos a texto y audio falso.
Luego facilitaron muchos recursos para poder detectar todos estos fakes, que aunque el sentido común ayuda, la gente se ha vuelto un poco “gandula” en estos términos y quieren que se lo den todo hecho.
- Publicado en Evento
h-c0n : Hackplayers’ Hacking Conference Madrid 31 enero 1 febrero.

Aunque lamentablemente las entradas ya están agotadas hace días, os recordamos un Conferencia de día y medio, muy, pero que muy interesante.
H-C0n 2020, que se realizará este fin de semana, 31 de enero y 1 de febrero, en La Nave, Madrid. Organizado por Hackplayers, asociación creada en el año 2009, siendo esta la tercera edición del evento, y la primera fuera de la Universidad donde lo realizaban anteriormente.
Unos ponentes de altura, de lo mejorcito del panorama nacional actual, y temas variados: Hacking, Ciberinteligencia, Seguridad, mundo maker, etc..
Podéis ver la agenda al completo y muchas más información en su WEB.
A todos los que váis, nos vemos allí, que nosotros no faltaremos, y los que no podéis ir, intentaremos resumir lo que veamos en nuestro blog en días venideros.
- Publicado en Evento