Η Αρμόδια Ομάδα Αντιμετώπισης Κυβερνοπεριστατικών CSIRT GR ενημερώνει ότι υπάρχει αυξημένη δραστηριότητα αποστολής email τα οποίο περιέχουν το κακόβουλο λογισμικό Emotet που επηρεάζει πολλούς οργανισμούς της χώρας.

Το κακόβουλο λογισμικό Emotet εξαπλώνεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν κακόβουλα έγγραφα Word. Τα έγγραφα χρησιμοποιούν μακροεντολές για την λήψη και εγκατάσταση του Emotet Trojan στον υπολογιστή του θύματος. Μετά από ένα σύντομο διάλειμμα, το κακόβουλο λογισμικό επέστρεψε σε λειτουργία στις 14 Οκτωβρίου και άρχισε να στέλνει κακόβουλο λογισμικό σε παγκόσμιο επίπεδο. Το σημαντικό είναι ότι χρησιμοποιεί διάφορες τεχνικές κοινωνικής μηχανικής για να αποκτήσει πρόσβαση στον επιτιθέμενο και να αποφύγει τον εντοπισμό του.

Τι συμβαίνει;

Τα Συστήματα που μολύνονται είναι…

Windows συστήματα, δίκτυα και Servers.

Τι σημαίνει;

Το τελευταίο διάστημα παρατηρήθηκε αύξηση της δραστηριότητας Emotet και στην Ελλάδα. Εξαπλώνεται μέσω e-mail και τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν κακόβουλα συνημμένα ή συνδέσμους που ο παραλήπτης ενθαρρύνεται να κατεβάσει. Αυτοί οι σύνδεσμοι και τα συνημμένα ενδέχεται να μοιάζουν με γνήσια τιμολόγια, οικονομικά έγγραφα, πληροφορίες αποστολής, βιογραφικά, σαρωμένα έγγραφα ή πληροφορίες για το covid-19, που να είναι πλαστά. Το Emotet έχει σχεδιαστεί για να κλέβει διαπιστευτήρια σύνδεσης για λογαριασμούς e-mail. Στη συνέχεια τα παραβιασμένα διαπιστευτήρια μεταβιβάζονται σε spam bots που στέλνουν μεγάλο αριθμό ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου για περαιτέρω διάδοση του κακόβουλου λογισμικού. Εναλλακτικά ενδέχεται να κλέψουν πληροφορίες που βρίσκονται στο γραμματοκιβώτιο σας και να τις χρησιμοποιήσουν. Για παράδειγμα μπορούν να χρησιμοποιήσουν το περιεχόμενο μιας υπάρχουσας συνομιλίας μέσω ηλεκτρονικού ταχυδρομείου ως πρόσχημα για να κάνουν το e-mail να φαίνεται νόμιμο.

Ποιοι κινδυνεύουν;

Ο καθένας μπορεί να προσβληθεί απο Emotet, συμπεριλαμβανομένων ατόμων και επιχειρήσεων.

Πως μπορούμε να πούμε ότι μολυνθήκαμε;

Ενδέχεται να λάβετε μηνύματα ηλεκτρονικού ταχυδρομείου από άτομα που βρίσκονται στην λίστα επαφών σας, ενημερώνοντας σας ότι έχουν λάβει phising e-mails απο εσάς που περιέχουν το κακόβουλο λογισμικό. Καθώς το κακόβουλο λογισμικό συνεχίζει να εξελίσσεται, το λογισμικό προστασίας από ιούς δεν εντοπίζει πάντα τις μολύνσεις. Σε περίπτωση που θεωρείτε ότι μολυνθήκατε αναφέρετε το περιστατικό στο https://csirt.cd.mil.gr/ και στο e-mail: csirt@cd.mil.gr

Τι να κάνουμε;

Προστασία

Καθώς το Emotet εξαπλώνεται μέσω εγγράφων με κακόβουλες μακροεντολές, είναι σημαντικό να λάβετε τα ακόλουθα μέτρα:

  • Πρέπει να είστε ιδιαίτερα προσεχτικοί στα μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνετε, ώστε να ταυτοποιείται το όνομα αποστολέα με τον πραγματικό αποστολέα.
  • Απενεργοποίηση μακροεντολών στο MS- Office. Ενεργοποιήστε μόνο μακροεντολές που έχουν ψηφιακή υπογραφή ή απο αξιόπιστες τοποθεσίες.
  • Βεβαιωθείτε ότι το λογισμικό προστασίας από ιούς στην τερματική συσκευή είναι ενεργό και ενημερωμένο.
  • Περιορίστε την χρήση του PowerShell στην εκτέλεση μόνο υπογεγραμμένων scripts.
  • Χρήση φίλτρων αλληλογραφίας και ιστού για αποκλεισμό εγγράφων Emotet και C2.
  • Αυστηρός έλεγχος των προγραμμάτων που επιτρέπεται να λειτουργούν στο επαγγελματικό περιβάλλον

Αντιμετώπιση

  • Απομονώστε το συντομότερο το μολυσμένο μηχάνημα.
  • Ελέγξτε για άλλα μολυσμένα μηχανήματα στο περιβάλλον σας.
  • Επαναφέρετε τα συστήματά σας σε προηγούμενη κατάσταση.
  • Αλλάξτε τους κωδικούς πρόσβασης των λογαριασμών σας και υποχρεωτικά  κωδικούς σε τοπικούς διαχειριστές (local admin passwords) και διαχειριστές κωδικών σε τομέα (domain admin passwords)
  • Ενημερώστε και συμβουλέψτε όσους βρίσκονται στην λίστα των επαφών σας να μην ανοίγουν επισυναπτόμενα μηνύματα ηλεκτρονικού ταχυδρομείου που έχουν αποσταλεί από εσάς.
  • Διατηρήστε εφεδρικό αντίγραφο ασφαλείας των συστημάτων σας
  • Απομονώστε το μολυσμένο δίκτυο, αν αυτό απαιτηθεί.