Emotet vīruss nozadzis gandrīz 10 000 Latvijas interneta lietotāju datus
CERT.LV rīcībā ir nonākusi informācija par gandrīz 10 000 Latvijas interneta lietotāju, kuru dati ir noplūduši internetā. Dati no lietotāju datoriem nozagti Emotet vīrusa infekcijas rezultātā. Nozagtie dati satur dažādu pakalpojumu saņemšanai un tīmekļa vietņu apmeklēšanai izmantotos lietotājvārdus un paroles.
Pēc noplūdušajiem datiem identificēti konkrētu iestāžu un uzņēmumu klienti. Šīs iestādes un uzņēmumi tiks informēti par lietotājiem, kuru dati ir noplūduši, lai tie varētu brīdināt savus lietotājus par nepieciešamību veikt paroļu nomaiņu. Pateicamies iestādēm un uzņēmumiem par iesaisti inficēto lietotāju apziņošanā, un uzsveram, ka tie nav nekādā mērā iesaistīti notikušajā incidentā.
Ja saņemat paziņojumu par savas iekārtas inficēšanos ar Emotet un datu noplūdi, aicinām nekavējoties veikt datora pārbaudi ar antivīrusu, kā arī no drošas/ pārbaudītas iekārtas nomainīt visas datorā izmantotās paroles un vietnēs, kur tas iespējams, uzstādīt dubulto drošību (divu faktoru autentifikāciju), lai kibernoziedznieki nespētu pārņemt jūsu kontu, pat ja tiktu pie jūsu paroles.
Pārbaudot datoru ar antivīrusa programmatūru, Emotet vīruss datorā var netikt atrasts, jo Nīderlandes policija arestēja Emotet izplatītājus, pārņēma kontroli pār vīrusa vadības iekārtām un veica Emotet neitralizēšanas pasākumus. Taču ir zināms, ka Emotet vīruss inficētajās iekārtās lejupielādēja arī dažādas citas kaitīgās programmatūras, kuras tur joprojām atrodas un ir nepieciešams iztīrīt.
Ja saņemat brīdinājumu no izmantotās antivīrusa programmatūras vai paroļu pārvaldnieka par noplūdušu paroli, aicinām veikt paroles nomaiņu. Ja paziņojumā tiek pieminēta Emotet infekcija, tad jāpieņem, ka noplūdušas ir visas datorā izmantotās paroles, un tās visas ir jānomaina.
Jautājumi un atbildes
1) Kā saprast pielikumā atrodamo informāciju?
Ja pielikumā ir atrodami lauki “domain” un ”account”, tad šeit uzrādītā informācija ir iegūta no lietotāja interneta pārlūkā saglabātajiem kontiem un parolēm, kur “account” atbilst kontam “domain” domēnā. Šiem kontiem piederošās paroles nav mūsu rīcībā, taču ir zināms, ka tās ir nozagtas.
domain, account
cert.lv, lietotajs@gmail.com
cert.lv, lietotajs1@inbox.lv
cert.lv, lietotajs2@inbox.lv
cert.lv, vards.uzvards@gmail.com
cert.lv, lietotajs2@gmai.com
Ja pielikumā ir atrodami lauki “domain” un “e-mail address”, tad šeit uzrādītā informācija ir iegūta no lietotāja e-pasta pārlukā saglabātajām parolēm, kur “e-mail address” atbilst kompromitētajam kontam un “domain” atbilst konta domēnam.
domain, email account
cert.lv, lietotajs1@cert.lv
cert.lv, lietotajs2@cert.lv
cert.lv, lietotajs3@cert.lv
2) Vai ir zināms par papildus datu noplūdi, bez minētajām parolēm?
Ir zināms, ka:
1) lietotājiem, kuriem datorā bija instalēts Outlook, no tā tika nozagta daļa sarakstes;
2) Emotet izplatītāji pārdeva pieeju inficētajiem datoriem arī citām uzbrucēju grupām, t.sk. Ryuk ransomware.
3) Vai ir zināms laiks, kad šis incidents ir noticis?
Šobrīd šāda informācija nav pieejama. Latvijā Emotet vīrusa kampaņas vairākkārt tika manītas 2020. gada ietvaros un 2021.gada sākumā. Laika perioda precizēšanai aicinām sazināties ar CERT.LV.
4) No kurienes tika nozagtas paroles?
Pēc lietotāja iekārtas inficēšanās ar Emotet vīrusu - informācija (paroles, lietotājvārdi) tika izgūta no interneta pārlūkiem (Google Chrome, Mozilla Firefox u.c.) un e-pasta pārlūkiem (Outlook, Thunderbird u.c.).
5) Vai ir notikusi datu noplūde?
Tā nav pakalpojumu sniedzēju datu noplūde, bet nozagtas paroles no individuālu lietotāju iekārtām, kas tikušas inficētas ar Emotet vīrusu.
6) Kā tika izvēlēti saņēmēji, kuriem tika nosūtīti informatīvi e-pasti?
E-pasti tika nosūtīti domēnu īpašniekiem, domēnu īpašnieki tika noteikti:
1) valsts un pašvaldību iestādēm - izmantojot CERT.LV datubāzi;
2) izmantojot domēna whois;
3) izmantojot IP adreses whois.
7) Kā tika iegūta datubāze ar skartajiem lietotājiem?
Informāciju par inficētajiem lietotājiem un nozagtajiem datiem CERT.LV saņēma no Nīderlandes drošības iestādēm, kas datus ieguva, starptautiskā operācijā veiksmīgi pārņemot vīrusa Emotet izplatīšanai un kontrolei izmantotos serverus. CERT.LV saņemtā informācija nesatur kontu paroles, tikai lietotājvārdus un domēnus, ar kuriem šie lietotājvārdi saistīti.
8) Vai CERT.LV informē tikai pakalpojumu sniedzējus vai informēti tiek arī lietotāji, kuru dati ir nozagti?
CERT.LV nav iespējas identificēt katru konkrēto lietotāju, to var izdarīt tikai pakalpojumu sniedzēji. Pakalpojumu sniedzējiem tiek nosūtīta informācija par cietušajiem klientiem un darbiniekiem, aicinot informēt šos lietotājus par nepieciešamību veikt paroļu nomaiņu.