SK-CERT varuje – EMOTET je znova na vzostupe

Národné centrum kybernetickej bezpečnosti SK-CERT zaznamenalo v poslednej dobe nárast šírenia malvérov z kampane EMOTET v európskom, ako aj v slovenskom kybernetickom priestore.

Malvéry z kampane EMOTET sa pokúšajú preniknúť do vášho počítača, ukradnúť citlivé a súkromné informácie, zašifrovať vaše dáta a pýtať výkupné, ako aj šíriť spam a škodlivý softvér.

Útok malvérom EMOTET sa v súčasnosti týka všetkých – od jednotlivcov, cez malé až po veľké organizácie. EMOTET je jedným z najničivejších momentálne známych malvérov, nakoľko na svoje šírenie využíva veľa rôznych možností.

Ako kampaň EMOTET prebieha

EMOTET kampaň je séria viacerých útokov, ktoré zvyčajne začínajú infekciou prostredníctvom phishingového e-mailu so škodlivou prílohou. Po počiatočnej infekcii útočník nainštaluje malvér TrickBot, ktorý sa často používa na odcudzenie údajov. Poslednou fázou je inštalácia ransomvéru Ryuk, ktorý zašifruje vybrané súbory na zariadeniach a vyžaduje platbu v bitcoinoch. Suma sa pohybuje od jedného do 99 bitcoinov (tento týždeň sa hodnota bitcoinu pohybuje v sume približne 9000 EUR) a útočník ju určí v závislosti od ekonomických možností obete[1]. Ryuk je ransomvér, ktorý vznikol z populárneho ransomvér Hermes. Má niekoľko pozoruhodných atribútov, medzi ktoré patrí pomerne vysoký dopyt po výkupnom od veľkých organizácii[2], avšak ako bolo vyššie spomenuté, po jeho rastúcej asociácii s EMOTETom a TrickBotom už je výška výkupného rôzna.

EMOTET sa primárne šíri prostredníctvom vierohodne vyzerajúcej správy od organizácie, v ktorej vás upozorňujú na variabilnú škálu podnetov – od neuhradenej faktúry, až po nové pravidlá týkajúce sa šírenia ochorenia Covid-19. Infekcia sa následne vykonáva prostredníctvom škodlivého skriptu, dokumentov s povolenými makrami alebo prostredníctvom iného škodlivého obsahu. Emaily sa môžu javiť legitímne a často nabádajú k okamžitému otvoreniu správy bez preverenia. EMOTET po infekcii prehľadá váš zoznam kontaktov a rozošle ďalšie phishingové e-maily. Keďže e-mail príde od legitímneho odosielateľa, adresáti (typicky rodina, známi a kolegovia) sú náchylnejší ho otvoriť.

EMOTET používa na prijímanie aktualizácií Comand and Control servery. Funguje to rovnako ako aktualizácie operačného systému a môže k ním prísť bezproblémovo bez toho, aby mal o tom užívateľ vedomosť. To umožňuje útočníkom nainštalovať nie len aktualizované verzie škodlivého softvéru, ale aj ďalší škodlivý softvér.

Existuje niekoľko analýz, ktoré spájajú ransomvérovú kampaň Ryuk so severokórejskými útočníkmi[3]. Tieto spojenia sú založené na podobe Ryuk s ransomvérom Hermes, ktorý používa APT38 (Lazarus Group)[4] a z menšej miery na metodológii, ktorú v minulosti Severná Kórea používala pri útokoch[5]. Tieto podobnosti však nie sú dostatočné na to, aby sa dalo dospieť k jednoznačnému záveru, kto za útokmi stojí.

Ako sa chrániť?

Národné centrum kybernetickej bezpečnosti SK-CERT všetkým používateľom, ako aj organizáciám odporúča:

• Udržovať svoje zariadenia v aktualizovanom stave. Malvér TrickBot, ktorý je prostredníctvom malvéru EMOTET inštalovaný do napadnutého zariadenia sa často spolieha na aktuálne aj staršie zraniteľnosti[6], medzi ktoré patrí aj zraniteľnosť Eternal Blue (najzávažnejšia zraniteľnosť využívaná pri útokoch atribuovaných Severnej Kórei – Wannacry[7]).
• Dodržiavajte základy kybernetickej hygieny, resp. poučte svojich zamestnancov:
  • Neotvárať neoverené správy a správy od neznámych používateľov
  • Neotvárať podozrivé prílohy (ani vo Vám známych formátoch ako .pdf/.docx a iné)
  • Zakázať povoľovanie makier v dokumentoch
  • Neotvárať URL odkazy vzbudzujúce podozrenie
  • V prípade využívania emailových aplikácií vypnúť funkciu náhľadu do prílohy
  • V prípade podozrenia overiť obsah správy u odosielateľa inou formou (telefonicky, osobne)
  • Nikdy nereagovať na správy žiadajúce akékoľvek osobné a citlivé údaje (prihlasovacie mená, heslá, údaje o platobných prostriedkoch)
• Pravidelne si zálohujte svoje dáta

Zdroje

[1] https://duo.com/decipher/the-unholy-alliance-of-emotet-trickbot-and-the-ryuk-ransomware

[2] https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/

[3] https://www.kryptoslogic.com/blog/2019/01/north-korean-apt-and-recent-ryuk-ransomware-attacks/

[4] https://www.kryptoslogic.com/blog/2019/01/north-korean-apt-and-recent-ryuk-ransomware-attacks/

[5] https://blog.koddos.net/malware-emotet-using-north-korean-tricks-to-show-its-still-king/

[6] https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/examining-ryuk-ransomware-through-the-lens-of-managed-detection-and-response

[7] https://www.fireeye.com/blog/threat-research/2017/05/smb-exploited-wannacry-use-of-eternalblue.html

« Späť na zoznam