Národné centrum kybernetickej bezpečnosti SK-CERT varuje – EMOTET je znova aktívny

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred obnovením činnosti nedávno vypnutého botnetu EMOTET. Nakoľko sme v minulosti zaznamenali incidenty v súvislosti s botnetom EMOTET aj na Slovensku, s veľkou pravdepodobnosťou možno očakávať opätovný výskyt tohto botnetu v slovenskom kybernetickom priestore.

Čo je to EMOTET?

EMOTET malvér je považovaný za najrozšírenejší, používajúci e-maily na šírenie škodlivého obsahu. Následne využíva napadnuté zariadenia na šírenie ďalšieho spamu a inštalácie škodlivého kódu, ako napríklad Qbot a TrickBot.

V minulosti si EMOTET vybudoval širokú infraštruktúru. Bol takisto vstupnou bránou pre ďalších útočníkov, ktorým operátori EMOTET predávali služby pre šírenie ransomvéru (napríklad Ryuk, Conti, ProLock, Egregor a podobne).

EMOTET momentálne obnovil svoju činnosť cez infraštruktúru, ktorú využíva malvér TrickBot.

Aktuálne IOC

Spolu s informáciou o obnovenej aktivite botnetu EMOTET bol zverejnený zoznam IOC:

Riadiace (C&C) servery:

Pravidelne aktualizované zoznamy C&C serverov sú dostupné na týchto odkazoch:

https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt

https://feodotracker.abuse.ch/browse/emotet/

MD5 hashe súborov

56688abc927a0aa9e9fffe1acfe5fa86

579333349009e0644947cf60751e0aae

eb1493acf69f2ea72cbd800bcee6f1aa

13b09350d8748cce048dfae731a2092f

Odporúčania

Pre správcov systémov a sietí a bezpečnostných špecialistov Národné centrum kybernetickej bezpečnosti SK-CERT odporúča:

  • preveriť prítomnosť vyššie spomenutých IOC na bezpečnostných zariadeniach a v monitoringu,
  • na bezpečnostných prvkoch blokovať a monitorovať komunikáciu s C&C servermi,
  • poučiť zamestnancov, že je možné očakávať phishingové kampane, ktorých cieľom je šíriť EMOTET spolu s odporúčaniami, ako postupovať v prípade prijatia podozrivej e-mailovej správy
  • udržiavať serverovú, sieťovú a používateľskú infraštruktúru aktualizovanú, nakoľko EMOTET môže zneužívať známe zraniteľnosti,
  • v prípade pozitívneho výskytu vyššie uvedených IOC vo vašej infraštuktúre kontaktovať NCKB SK-CERT na incident@nbu.gov.sk spolu s detailným popisom incidentu

Pre bežných používateľov Národné centrum kybernetickej bezpečnosti SK-CERT odporúča:

  • udržiavať svoje zariadenia v aktualizovanom stave. EMOTET sa môže spoliehať na aktuálne aj staršie zraniteľnosti,
  • dodržiavajte základy kybernetickej hygieny:
    • Neotvárať neoverené správy a správy od neznámych používateľov
    • Neotvárať podozrivé prílohy (ani vo Vám známych formátoch ako .pdf/.docx a iné)
    • Zakázať povoľovanie makier v dokumentoch
    • Neotvárať URL odkazy vzbudzujúce podozrenie
    • V prípade využívania emailových aplikácií vypnúť funkciu náhľadu do prílohy
    • V prípade podozrenia overiť obsah správy u odosielateľa inou formou (telefonicky, osobne)
    • Nikdy nereagovať na správy žiadajúce akékoľvek osobné a citlivé údaje (prihlasovacie mená, heslá, údaje o platobných prostriedkoch)
  • pravidelne si zálohujte svoje dáta, najlepšie offline zálohou na pamäťové médium

« Späť na zoznam