Francija, Japāna un Jaunzēlande brīdina par pēkšņu Emotet uzbrukumu pieaugumu

Kiberdrošības aģentūras no Francija, Japāna, un Jaunzēlande pagājušajā nedēļā ir publicējuši drošības brīdinājumus, brīdinot par Emotet ļaunprātīgas programmatūras uzbrukumu lielu pieaugumu, kas vērsti uz attiecīgajām valstīm.

Emotet darbība, kas aprakstīta brīdinājumos, attiecas uz e-pasta surogātpasta kampaņām, kas radušās no Emotet infrastruktūras un kuru mērķauditorija bija uzņēmumi un valdības aģentūras trīs valstīs.

Cietušo organizācijas, kas saņēma e-pasta ziņojumus, atvēra un pēc tam palaida pievienotos dokumentus, riskēja inficēties ar vienu no mūsdienu bīstamākajām ļaunprātīgajām programmām.

Džozefs Rūzens, dalībnieks Kriptolēms, drošības pētnieku grupa, kas izseko Emotet ļaunprātīgas programmatūras kampaņas ZDNet ka Emotet robottīkls ir bijis īpaši aktīvs pēdējo nedēļu laikā un īpaši aktīvs šajās trīs valstīs.

Piemēram, Rūzens sacīja, ka Emotet operatori ir ļoti mērķtiecīgi uz Jaunzēlandi, izmantojot e-pasta ziņojumus no E3 (viena no trim mini robottīkliem, kas veido lielāku Emotet infrastruktūru).

No otras puses, kamēr E3 bija aizņemts ar surogātpasta sūtīšanu Jaunzēlandē, Rūzens sacīja, ka visi trīs mini Emotet robottīkli (E1, E2 un E3) ir vērsti uz Japānu. Saskaņā ar CERT Japānas datiem, šie Emotet surogātpasta viļņi pagājušajā nedēļā trīskāršojās Emotet novērojumu skaita trīskāršībā, izraisot ekspertu trauksmes signālu.

Taču, lai gan Japānā un Jaunzēlandē ir bijuši spēcīgi surogātpasta viļņi, Francijā situācija bija vieglāka, kur, kā sacīja Rūzens, Emotet surogātpasta viļņi nav bijuši tādā pašā līmenī kā pārējās divās valstīs.

Tomēr, Emotet inficētos datorus Parīzes tiesu sistēmas tīklā, pagriežot galvas, veidojot virsrakstus un izraisot ārkārtas stāvokli Francijas amatpersonu vidū.

Francijas Iekšlietu ministrija reaģēja, bloķējot visu Office dokumentu (.doc) piegādi pa e-pastu, un Francijas kiberdrošības aģentūra ANSSI pirmdien nāca klajā ar oficiālu kiberdrošības brīdinājumu, aicinot valdības aģentūras pievērst uzmanību viņu e-pastiem atvēršana.

« Le ministra de l’intérieur est actuellement upuris d’une campagne d’attaque par messagerie » 👀 pic.twitter.com/XvadpKVBw4

— Boriss Kharlamoff (@BorisKharlamoff) 2020. gada 6. septembris

Sarunu nolaupīšana

Saskaņā ar visiem trim brīdinājumiem uzbrukumi, šķiet, bijuši vienādi.

Emotet operatori izmantoja savu veco triku, inficējot vienu upuri un pēc tam nozagot vecākus e-pasta pavedienus. Pēc tam grupa atdzīvinās šīs vecās sarunas, pievienos ļaunprātīgus failus kā pielikumus un mērķētu uz jauniem lietotājiem, izmantojot likumīgu sarunu.

Lietotāji daļa no sarunām vai pievienotie lietotāji bieži vien ziņkārības dēļ atvēra e-pasta pavedienam pievienotos ļaunprātīgo failu pielikumus un inficējas.

Nesenajās kampaņās, kuru mērķauditorija bija Francija, Japāna un Jaunzēlande, Emotet, šķiet, ir izmantojis Windows Word dokumentus (.doc) un ar paroli aizsargāti ZIP arhīva faili kā ļaunprātīgi e-pasta pielikumi, uzbrukumi, kuru mērķis ir citu valstu uzņēmumi arī.

Visos trīs drošības brīdinājumos ir ietverti labi padomi ikvienam, kurš meklē veidus, kā novērst Emotet infekcijas vai tikt ar tām galā, neatkarīgi no izcelsmes valsts.

Vienā vai otrā brīdī Emotet mainīs mērķauditorijas atlasi un dosies pēc citām valstīm, kā to spēj robottīkls sūtīt surogātpastu vairākās valodās, saskaņā ar kiberdrošības firmas Proofpoint teikto.

Bet vislabākais Emotet padoms, ko ZDNet var sniegt, ir attiecībā uz sistēmām, kuras jau ir konstatētas kā inficētas. Tādā gadījumā uzņēmumiem būtu jānojauc visi savi tīkli un jāpārbauda katra sistēma. Tas ir tāpēc, ka Emotet ir funkcijas, kas ļauj tai izplatīties sāniski visā tīklā, un Emotet bieži izmanto arī citu ļaunprātīgu programmatūru, tostarp izpirkuma programmu, lejupielādei. Inficēto sistēmu vai visa tīkla izmantošana bezsaistē, kamēr sistēmas tiek skenētas un pārdomātas, ir labākais veids, kā izvairīties no vēl dārgāka drošības incidenta.