El sitio web que le permite verificar si sus datos se filtraron en una infracción ahora le permite verificar si sus credenciales de inicio de sesión pueden haber sido comprometidas por Emotet.

Para alertar a las víctimas de la botnet Emotet, la Oficina Federal de Investigaciones (FBI) de los Estados Unidos compartió más de 4,3 millones de direcciones de correo electrónico con el sitio web de monitoreo de violación de datos, Have I Been Pwned (HBIP). De usuarios y empresas que fueron recopilados por Emotet.

“En total, se proporcionaron 4.324.770 direcciones de correo electrónico, que cubren una gran cantidad de países y dominios. Estas direcciones provienen de dos conjuntos de datos separados que fueron obtenidos por las agencias durante el proceso de desactivación de Emotet ”, dijo el fundador de HBIP, Troy Hunt, en una publicación de blog.

Esta acción se produce inmediatamente después de una operación que tuvo lugar el domingo 25 de abril, en la que las fuerzas de seguridad lanzaron una actualización dirigida a todos los sistemas comprometidos por Emotet para desinstalar el malware. Esto sucedió el pasado mes de enero, luego de que autoridades de Holanda, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania unieran fuerzas para eliminar la botnet Emotet, hacerse con el control de su infraestructura y desmantelarla desde adentro. Se desconectaron unos 700 servidores de comando y control.

Al comienzo de la operación, el FBI se puso en contacto con Hunt para ver si existía una forma eficaz de alertar a los usuarios y empresas de que Emotet había comprometido sus sistemas y cuentas.

El FBI compartió con el HIBP la información de inicio de sesión que Emotet guardó para enviar spam a través de los proveedores de correo electrónico de las víctimas, junto con las credenciales web recopiladas de los navegadores donde se guardaron las contraseñas para acelerar el proceso de inicio de sesión.

Si se ha evaluado la posibilidad de que estos datos sean tratados como lagunas separadas para que puedan ser identificadas por las víctimas, Hunt dijo que finalmente decidieron cargar los datos a Have I Been Pwned como una sola laguna y que la recomendación final es muy similar en ambos casos. Sin embargo, los usuarios que quieran comprobar si se han visto afectados por Emotet no podrán hacerlo utilizando la barra de búsqueda en la página de inicio de HIBP. Esto se debe a que el incidente fue clasificado como sensible por Hunt, por lo que los resultados no son públicos y por lo tanto los usuarios afectados por Emotet no se convierten en objetivos de futuros ataques, explicó Hunt.

“Para comprobar si han sido afectados por una violación de datos confidenciales, las consultas deben realizarse a través de cuentas de correo electrónico que pasan por el proceso de verificación o mediante la opción de búsqueda de dominio. Este proceso se realiza a través del sistema de notificación que consiste en enviar un correo electrónico de verificación a la dirección con un enlace único. Cuando se accede a este enlace, el propietario de la dirección verá todas las filtraciones de datos en las que estuvo involucrado, incluidas las confidenciales ”, dice la sección de preguntas frecuentes del sitio web.

Si la investigación revela que se ha visto afectado por Emotet, Hunt sugiere que siga los siguientes pasos para mitigar el impacto:

  • Cambie la contraseña de su cuenta de correo electrónico y las contraseñas de cualquier servicio conectado a esa cuenta.
  • Mantenga los dispositivos y la solución de seguridad que utiliza fijos y actualizados.
  • Los administradores a cargo de los sistemas multiusuario deben utilizar las reglas YARA publicadas por DFN-CERT.

LEAVE A REPLY

Please enter your comment!
Please enter your name here