Malware-ul Emotet revine prin e-mail

Agențiile CERT din mai multe țări raportează o creștere a atacurilor cibernetice cu malware-ul Emotet, care este distribuit prin e-mail.

E-mailurile conțin atașamente sau linkuri rău intenționate pe care utilizatorul este încurajat să le descarce. Aceste legături și atașamente pot arăta ca facturi autentice, documente financiare, CV-uri, documente scanate sau informații despre COVID-19, dar sunt false.

Emotet este un troian avansat, auto-propagabil și modular, dezvoltat inițial ca troian bancar. Acum este folosit pentru a distribui alte programe, în special ransomware și folosește diverse metode pentru a menține persistența și tehnicile de evaziune pentru a ajuta la evitarea detectării.

Troianul este conceput pentru a sustrage credențialele de conectare pentru conturile de e-mail configurate pe sistemele infectate, ce vor fi transmise către spam bot pentru a răspândi în continuare malware și pentru a sustrage informații care se află în e-mail, care pot fi folosite pentru a trimite alte e-mailuri. De exemplu, pot folosi conținutul unei conversații prin e-mail existente ca pretext pentru a face e-mailul spam să pară legitim.

Emotet este, de asemenea, utilizat pentru a instala alte programe malware, cum ar fi Trickbot și QBot. Acestea pot fi folosite pentru a oferi acces atacatorilor în sistemele infectate și instalează adesea ransomware precum Ryuk, Maze, Conti sau ProLock în întreaga rețea.

Prevenirea

 Deoarece Emotet este răspândit prin intermediul documentelor cu macrocomenzi malware, este utilă luarea următoarelor măsuri:

• Dezactivați macrocomenzile din MS Office. Activați numai macrocomenzile semnate digital sau din locații de încredere:

• Asigurați-vă că software-ul antivirus de pe dispozitivul dvs. este activ și actualizat
• Limitați PowerShell numai la executarea scripturilor semnate
• Aplicați principiul minimului de privilegii necesare:
  https://www.cert.govt.nz/it-specialists/critical-controls/principle-of-least-privilege/
• Utilizarea filtrelor de e-mail și web pentru a bloca documente Emotet cunoscute și C2
• Lista albă a aplicațiilor:
  https://www.cert.govt.nz/it-specialists/critical-controls/application-whitelisting/

 Atenuarea

 Dacă sistemul dvs. a fost afectat de malware-ul Emotet, vă recomandăm să:

• Izolați computerul infectat cât mai curând posibil
• Verificați dacă există alte computere infectate
• Reinstalați și actualizați computerele
• Schimbați toate credențialele, în special parolele de administrator local și de administrator de domeniu
• Notificați pe toată lumea din lista dvs. de contacte și sfătuiți-i să nu deschidă atașamente în e-mailurile care par să vină de la dvs.
• Examinați soluțiile de filtrare a e-mailurilor și a web-ului
• Examinați soluția dvs. antivirus
• Activați înregistrarea comenzilor PowerShell, pentru a vă permite să detectați computerele infectate
• Mențineți o copie de rezervă offline a sistemelor dvs.
  https://www.cert.govt.nz/it-specialists/critical-controls/implement-and-test-backups/
• Segregarea rețelei:
  https://www.cert.govt.nz/it-specialists/critical-controls/network-segmentation-and-separation/

Sursa: www.cert.govt.nz