- El ataque comenzó con un correo electrónico de phishing que fue abierto por un empleado interno.
- El troyano logró evadir todos los sistemas de detección, ya que estaba controlado por el servidor de comando y control (C2) del atacante.
Microsoft ha compartido detalles de un ataque de Emotet contra una organización a la que se hace referencia con el nombre falso, Fabrikam. El incidente se describe en el Informe de caso 002 del Equipo de detección y respuesta de Microsoft (DART), donde Fabrikam es un alias para la organización de la víctima.
Sobre el ataque
Según la cuenta de Microsoft de la respuesta a incidentes para una compañía a la que se refiere como Fabrikam , el ataque comenzó con un correo electrónico de phishing que fue abierto por un empleado interno. Más tarde, esto dio lugar a una serie de eventos que condujeron a un cierre de una semana de los servicios centrales de la organización al maximizar las CPU.
Evadir la detección mientras se infecta
El troyano logró evadir todos los sistemas de detección, ya que estaba controlado por el servidor de comando y control (C2) del atacante. Cinco días después, después de que las credenciales del empleado víctima fueron extraídas por el archivo adjunto de correo electrónico de phishing, el troyano fue entregado y ejecutado en las PC de Fabrikam.
Poco después, el malware comenzó a apuntar a más empleados de Fabrikam y sus contactos externos utilizando credenciales robadas. Finalmente, el malware logró tomar el control de toda la red al obtener acceso a la cuenta de administrador.
En ocho días, toda la red de la organización se había bloqueado a pesar de los mejores esfuerzos del departamento de TI de la entidad. Todas las PC conectadas a la red experimentaron sobrecalentamiento, congelamiento, apagados bruscos y reinicios debido a la pantalla azul de la muerte (BSOD).
El ataque había arrodillado a toda la organización, incluidas las redes de cámaras de vigilancia de 185.
¿Qué acciones se tomaron?
Dado que Emotet paralizó toda la red de Fabrikam, Microsoft recomendó a la organización objetivo que implemente herramientas de filtrado de correo electrónico para evitar posibles ataques de phishing y autorización multifactor. Además de esto, Microsoft también cargó una nueva firma antivirus para mejorar la detección del malware Emotet.