SK-CERT varuje – EMOTET je znova na vzostupe
Národné centrum kybernetickej bezpečnosti SK-CERT zaznamenalo v poslednej dobe nárast šírenia malvérov z kampane EMOTET v európskom, ako aj v slovenskom kybernetickom priestore.
Malvéry z kampane EMOTET sa pokúšajú preniknúť do vášho počítača, ukradnúť citlivé a súkromné informácie, zašifrovať vaše dáta a pýtať výkupné, ako aj šíriť spam a škodlivý softvér.
Útok malvérom EMOTET sa v súčasnosti týka všetkých – od jednotlivcov, cez malé až po veľké organizácie. EMOTET je jedným z najničivejších momentálne známych malvérov, nakoľko na svoje šírenie využíva veľa rôznych možností.
Ako kampaň EMOTET prebieha
EMOTET kampaň je séria viacerých útokov, ktoré zvyčajne začínajú infekciou prostredníctvom phishingového e-mailu so škodlivou prílohou. Po počiatočnej infekcii útočník nainštaluje malvér TrickBot, ktorý sa často používa na odcudzenie údajov. Poslednou fázou je inštalácia ransomvéru Ryuk, ktorý zašifruje vybrané súbory na zariadeniach a vyžaduje platbu v bitcoinoch. Suma sa pohybuje od jedného do 99 bitcoinov (tento týždeň sa hodnota bitcoinu pohybuje v sume približne 9000 EUR) a útočník ju určí v závislosti od ekonomických možností obete[1]. Ryuk je ransomvér, ktorý vznikol z populárneho ransomvér Hermes. Má niekoľko pozoruhodných atribútov, medzi ktoré patrí pomerne vysoký dopyt po výkupnom od veľkých organizácii[2], avšak ako bolo vyššie spomenuté, po jeho rastúcej asociácii s EMOTETom a TrickBotom už je výška výkupného rôzna.
EMOTET sa primárne šíri prostredníctvom vierohodne vyzerajúcej správy od organizácie, v ktorej vás upozorňujú na variabilnú škálu podnetov – od neuhradenej faktúry, až po nové pravidlá týkajúce sa šírenia ochorenia Covid-19. Infekcia sa následne vykonáva prostredníctvom škodlivého skriptu, dokumentov s povolenými makrami alebo prostredníctvom iného škodlivého obsahu. Emaily sa môžu javiť legitímne a často nabádajú k okamžitému otvoreniu správy bez preverenia. EMOTET po infekcii prehľadá váš zoznam kontaktov a rozošle ďalšie phishingové e-maily. Keďže e-mail príde od legitímneho odosielateľa, adresáti (typicky rodina, známi a kolegovia) sú náchylnejší ho otvoriť.
EMOTET používa na prijímanie aktualizácií Comand and Control servery. Funguje to rovnako ako aktualizácie operačného systému a môže k ním prísť bezproblémovo bez toho, aby mal o tom užívateľ vedomosť. To umožňuje útočníkom nainštalovať nie len aktualizované verzie škodlivého softvéru, ale aj ďalší škodlivý softvér.
Existuje niekoľko analýz, ktoré spájajú ransomvérovú kampaň Ryuk so severokórejskými útočníkmi[3]. Tieto spojenia sú založené na podobe Ryuk s ransomvérom Hermes, ktorý používa APT38 (Lazarus Group)[4] a z menšej miery na metodológii, ktorú v minulosti Severná Kórea používala pri útokoch[5]. Tieto podobnosti však nie sú dostatočné na to, aby sa dalo dospieť k jednoznačnému záveru, kto za útokmi stojí.
Ako sa chrániť?
Národné centrum kybernetickej bezpečnosti SK-CERT všetkým používateľom, ako aj organizáciám odporúča:
- Udržovať svoje zariadenia v aktualizovanom stave. Malvér TrickBot, ktorý je prostredníctvom malvéru EMOTET inštalovaný do napadnutého zariadenia sa často spolieha na aktuálne aj staršie zraniteľnosti[6], medzi ktoré patrí aj zraniteľnosť Eternal Blue (najzávažnejšia zraniteľnosť využívaná pri útokoch atribuovaných Severnej Kórei – Wannacry[7]).
- Dodržiavajte základy kybernetickej hygieny, resp. poučte svojich zamestnancov:
- Neotvárať neoverené správy a správy od neznámych používateľov
- Neotvárať podozrivé prílohy (ani vo Vám známych formátoch ako .pdf/.docx a iné)
- Zakázať povoľovanie makier v dokumentoch
- Neotvárať URL odkazy vzbudzujúce podozrenie
- V prípade využívania emailových aplikácií vypnúť funkciu náhľadu do prílohy
- V prípade podozrenia overiť obsah správy u odosielateľa inou formou (telefonicky, osobne)
- Nikdy nereagovať na správy žiadajúce akékoľvek osobné a citlivé údaje (prihlasovacie mená, heslá, údaje o platobných prostriedkoch)
- Pravidelne si zálohujte svoje dáta
Zdroje
[1] https://duo.com/decipher/the-unholy-alliance-of-emotet-trickbot-and-the-ryuk-ransomware
[2] https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/
[3] https://www.kryptoslogic.com/blog/2019/01/north-korean-apt-and-recent-ryuk-ransomware-attacks/
[4] https://www.kryptoslogic.com/blog/2019/01/north-korean-apt-and-recent-ryuk-ransomware-attacks/
[5] https://blog.koddos.net/malware-emotet-using-north-korean-tricks-to-show-its-still-king/
[6] https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/examining-ryuk-ransomware-through-the-lens-of-managed-detection-and-response
[7] https://www.fireeye.com/blog/threat-research/2017/05/smb-exploited-wannacry-use-of-eternalblue.html
« Späť na zoznam