TA542, el grupo de ciberdelincuentes que está detrás del virus Emotet, ha vuelto a actuar tras el parón de las Navidades. Según han detectado los investigadores de Proofopoint, Emotet, una potente botnet modular, capaz de descargar e instalar malware adicional, que a menudo roba información y envía correos electrónicos maliciosos, y que puede extenderse a través de redes y usar dispositivos infectados para lanzar más ataques, ha recuperado su actividad desde el 13 de enero, con el lanzamiento de una campaña que incluye mensajes en castellano y objetivos en España.

El grupo TA542 se dirigía primero a posibles víctimas de EEUU, Canadá y México, particularmente en la industria farmacéutica. Un día después, el martes 14, la amenaza se expandió a España, Austria, Alemania, Italia, Suiza, Australia, Hong Kong, Japón, Singapur, Corea del Sur, Taiwan y Emiratos Árabes Unidos. Al mismo tiempo, se detectaron muestras en un mayor número de idiomas, como español, chino, alemán, italiano y japonés, además de inglés. Y, como es habitual en este grupo, ampliaron también el número de industrias objetivo, más allá de compañías del sector farmacéutico.

“Emotet es una de las amenazas más disruptivas del mundo, y cualquier organización global debería tomarse muy en serio su regreso. Su infraestructura de distribución masiva es tan potente que ningún otro grupo consigue alcanzar los volúmenes de difusión que logra”, comenta Sherrod DeGrippo, directora senior de Investigación y Detección de Amenazas de Proofpoint. “Es importante que los equipos de seguridad continúen asegurando su canal de correo electrónico y eduquen a los usuarios sobre los mayores riesgos asociados con los archivos adjuntos de correo electrónico”, recomienda.

Para comprender la gravedad del regreso de Emotet, es conveniente echar un vistazo al último periodo de inactividad que tuvieron, entre mayo y finales de septiembre de 2019. A pesar de que Emotet estuvo activo sólo durante las dos últimas semanas del tercer trimestre, llegó a representar más del 11% de todas las cargas maliciosas registradas por el equipo de investigación de Proofpoint durante todo el trimestre.

Las campañas de TA542 tienen grandes volúmenes en un corto período de tiempo y son muy amplias en cuanto a sectores, idiomas y audiencias. Solo el lunes 13 de enero se registraron casi 750.000 mensajes y sólo tres días después ya está rondando el millón. Y aunque este volumen no es el más alto registrado por TA542 (que llegó a generar más de un millón de mensajes en un día), el lunes ha sido día con mayor volumen de actividad desde abril de 2019.

TA542 ha lanzado campañas de correo electrónico que han afectado a Europa, América, Asia y Australia.

Desde Proofpoint se recomienda a todas las organizaciones que tomen las medidas necesarias para garantizar que el tráfico de correo electrónico sea seguro y advertir a los usuarios que desconfíen de los correos electrónicos que soliciten acciones urgentes, como hacer clic en los enlaces o abrir archivos adjuntos. Una estrategia de seguridad por capas y con gateway de correo electrónico ayudará a evitar la entrega de estos mensajes, y poner en marcha programas personalizados de formación a los usuarios ayudará a las potenciales víctimas a poder identificar los correos electrónicos maliciosos.