Lai šī tīmekļa vietne darbotos, CERT.LV izmanto obligāti nepieciešamās sīkdatnes.

Ar Jūsu piekrišanu šajā vietnē papildus var tikt izmantotas statistikas un mārketinga sīkdatnes.

Ja piekrītat šo papildu sīkdatņu izmantošanai, lūdzam atzīmēt savu izvēli:

Plašāka informācija un iespēja mainīt savu izvēli šeit.

☰
Sākums Incidenti Brīdinājumi

Brīdinājums par ļaunatūras Emotet izplatīšanu

CERT.LV redzeslokā nonākušas vairākas e-pasta kampaņas, kurās tiek izplatīta Emotet ļaunatūra.

Emotet, nokļūstot upura iekārtā:

  • ievāc sensitīvu informāciju no upura iekārtas;
  • izsūta sevi visam e-pasta kontaktu sarakstam;
  • cenšās izplatīties tīklā, izmantojot paroļu sarakstus vai cenšoties uzminēt paroles (brute force attack), lai piekļūtu tīklā pieslēgtām sistēmām/ iekārtām;
  • lejuplādē papildu ļaunatūras, piemēram, TrickBot.

Ar Emotet inficēta sūtījuma pazīmes:

  • visbiežāk e-pasts tiek saņemts no kāda zināma sūtītāja, kurš, iespējams, neuzmanības vai nezināšanas pēc ir atvēris līdzīgu sūtījumu un inficējis savu iekārtu;
  • e-pasts var saturēt atpazīstamus e-pastu fragmentus no pārņemtā konta, lai izskatītos pēc uzsāktas sarakstes turpinājuma;
  • kaitīgajam e-pastam pielikumā var būt dokuments (paplašinājums .DOC) ar Macros funkcionalitāti, kuru aicina iespējot satura aplūkošanai vai dokumenta saderības nodrošināšanai, jo dokuments it kā radīts vecākā Microsoft Office versijā;
    vai arī
  • kaitīgais e-pasts nesatur pielikumu, bet satur saiti uz kādu uzlauztu vietni, kurā ievietots dokuments ar aktīvo saturu (Macros), kuru lietotājs tiek aicināts iespējot.

Kā sevi pasargāt?

  • nevajadzētu klikšķināt uz e-pasta pielikumu, ja pašā e-pastā tas pat nav pieminēts;
  • ja šķiet, ka e-pasts nav adresēts jums vai ir dīvains / novecojis, tas automātiski jauzskata par aizdomīgu;
  • ja dokuments jau ir atvērts, bet izskatās tukšs un pieprasa ieslēgt Macros, lai redzētu tā saturu, - Macros slēgt nedrīkst, tā vietā šāds dokuments ir jāver ciet un jāpārsūta e-pasts savam IT speciālistam;
  • pārliecināties, ka operētājsistēma, MS Office un e-pasta klients ir atjaunināti;
  • pārliecināties, ka Macros funkcionalitāte dokumentos netiek iespējota automātiski (svarīgi!);
  • saņemtajos e-pastos pārbaudīt sūtītāju, ja sūtītāja adrese nesakrīt ar to, par ko uzdodas, tad tā ir droša kaitīga e-pasta pazīme (bet, ja tomēr sakrīt, vēl nenozīmē, ka e-pasts netiek sūtīts no uzlauzta konta; ja māc šaubas par e-pasta autentiskumu, aicinām sazināties ar sūtītāju citā veidā, piemēram, telefoniski);
  • kā papildu aizsardzību iespējams izmantot arī CERT.LV nodrošināto DNS ugunsmūri, kas bloķēs kaitīgās aktivitātes.

Lietas, ko uzņēmumi un iestādes var darīt, lai pasargātu savus darbiniekus no Emotet:

  • filtrēt e-pastus ar '@' zīmi vārda / uzvārda laukā;
  • filtrēt e-pastus ar .doc failiem pielikumā, kas satur Macros;
  • atslēgt vai ierobežot Macros izpildi uzņēmumā;
  • izglītot darbiniekus par pikšķerēšanas draudiem un specifiski par Emotet;
  • pamanīt un bloķēt cmd.exe un powershell.exe izsaukšanu pēc Office dokumenta atvēršanas;
  • izmantot CERT.LV un NIC.LV kopīgi izstrādāto risinājumu dnsmuris.lv, kas bloķē ar ļaunatūru saistītos tīkla pieprasījumus.

Pazīmes, kas liecina par to, ka darbinieka dators jau ir inficēts ar Emotet:

  • no datora tiek uzsākta automātiska pieslēgšanās pie iekšējiem vai ārējiem tīkla resursiem (TCP porti: 25, 139, 3389);
  • no sadarbības partneriem / klientiem pēkšņi pienāk ziņas, ka organizācijas vārdā tiek sūtīti dīvaini e-pasti (reāls teksts, bet ārpus konteksta, vai nepareiziem adresātiem);
  • uz darbinieka datora var pārstāt strādāt antivīruss.

Likvidējot Emotet ļaunatūras sekas, jāņem vērā:

  • jau pirmajās minūtēs no inficētās iekārtas uz kontroles serveri tiek aizsūtītas ne tikai visas lietotāja ievadītās un datorā saglabātās paroles (t.sk. pārlūki, FTP/SSH klienti, utt.), kas visas ir jānomaina (ne tikai e-pasta parole), bet arī informācija par izmantoto infrastruktūru, iekšējā tīkla struktūru, kontaktiem, e-pastu paraugiem, kas var tikt izmantota mērķētos uzbrukumos pēc pusgada vai gada;
  • uz kontroles serveri tiek aizsūtīta arī lietotāja adrešu grāmatiņa un vēsturiski e-pastu fragmenti, līdz ar to ir jārēķinās, ka klienti un partneri var turpināt saņemt SPAM e-pastus arī pēc inficētās iekārtas pārinstalēšanas;
  • inficētajās iekārtās parasti tiek pieinstalēta jauna ļaunatūra: Trickbot, Qbot, kā arī citi informācijas zādzēji, trojāni vai pat izspiedējvīrusi;
  • šobrīd Emotet atrodas izplešanās stadijā, līdz ar to inficētās iekārtas tiek pārsvarā izmantotas kā proxy serveri tālākai SPAM izsūtīšanai.

Ja šāds e-pasts ir saņemts un dokuments ir ticis atvērts, aicinām nekavējoties sazināties ar savu sistēmadministratoru.

Attēls: pixabay.com

Ziņas

Par mums

Incidenti

Pakalpojumi

Kontakti

© 2024 CERT.LV