Skoči na vsebino

Širjenje okužb s trojancem Emotet

Emotet je zelo trdoživ trojanski konj, ki je namenjen kraji uporabniških podatkov in gesel, okužba pa za organizacijo predstavlja veliko nevarnost. Leta 2019 smo v obvestilu SI-CERT 2019-06 / Okužena sporočila s preteklo korespondenco (Emotet trojanec) opisali, kako nove različice ukradejo tudi arhiv elektronske pošte, da lahko preteklo korespondenco uporabijo za nadaljnje širjenje. 

V času pisanja te novice je Europol sporočil, da so v mednarodni akciji organi pregona in CSIRT skupine uspele onesposobiti večjo botnet infrastrukturo Emoteta in v Ukrajini prijeli dva skrbnika te infrastrukture.

Emotet okužbe po letih 2017 - 2020
Emotet okužbe v letih 2017 – 2020

Zakaj je Emotet nevaren?

Emotet spada v kategorijo t.i.”information stealer” trojanskih konjev. Prva različica sega v 2014, v tem času pa se je razvil v napreden in učinkovit mehanizem okužbe računalnikov. Glavni namen je kraja uporabniških podatkov: shranjenih gesel v brskalnikih, odjemalcih elektronske pošte, programih za hipno sporočanje, vsebine in naslovov elektronske pošte, beleženje vnosov prek tipkovnice oz. keylogger. Okužba odpira vrata tudi nadaljnjim zlorabam: uporaba okuženega računalnika v botnetu za napade na druge sisteme ter za prenos druge škodljive kode na okužen sistem, npr. izsiljevalskih kripto virusov (ransomware).

Emotet ni izbirčen pri iskanju svojih žrtev, nevaren je tako za posameznike kakor tudi za večja podjetja oz. organizacije. Trojanec se v zadnjem času širi predvsem na elektronske poštne naslove, ki so bili pridobljeni v predhodnih okužbah. To pomeni, da so napadalci naslove in vsebino e-pošte pridobili iz poštnih odjemalcev Outlook, ki so, skupaj z operacijskim sistemom Windows, večinoma v uporabi v poslovnem okolju. Posledično so podjetja in organizacije dovzetnejša za širjenje potencialne okužbe.

Kako prepoznamo nevarnost?

Okužena sporočila načeloma vsebujejo naslednje elemente:

  • v polju pošiljatelja je navedeno ime znane osebe, s katero smo v preteklosti že komunicirali ter neznan elektronski naslov, ki pa ga poštni programi praviloma ne prikažejo,
  • stavek ali dva v angleškem jeziku, ki poziva, da preverimo oz. odpremo priponko,
  • ime, priimek in elektronski naslov znane osebe (v podpisu),
  • vsebino predhodne korespondence,
  • sporočilo vsebuje priponko ali povezavo za prenos datoteke iz oddaljene lokacije.

Zlonamerna priponka je lahko v različnih formatih; običajno gre za priponke s končnicami MS Office dokumentov (.doc, .docx, .docm, .xls, .xlsx, .xlsm), v uporabi pa so tudi .pdf dokumenti in arhivske datoteke, največkrat .zip (včasih tudi .rar., .iso, .img ipd). Zadnje različice vsebujejo arhivske .zip datoteke, zaščitene z geslom, ki je zapisano v samem sporočilu.  V različici sporočil, ki vsebujejo povezavo za prenos datoteke, pa te najpogosteje vodijo do strani ponudnikov storitev deljenja in hrambe datotek, npr. GoogleDrive, DropBox, WeTransfer. Znani so tudi primeri, ko so se datoteke nahajale na drugih zlorabljenih spletnih strežnikih, tudi slovenskih.

Kako ukrepate ob okužbi?

V primeru okužbe je potrebno sistem nemudoma izklopiti iz omrežja ter ponovno namestiti operacijski sistem oz. ga ponastaviti na tovarniške nastavitve. Potrebna je menjava vseh gesel in tudi preklic digitalnih potrdil, katerih zasebni ključi so bili v času okužbe dosegljivi na okuženem sistemu. Menjavo gesel je potrebno opraviti na preverjeno čistem sistemu!

Ob sumu okužbe (in če so na voljo tehnične možnosti) je priporočljiv tudi nadzor odhodnega omrežnega prometa, s ciljem lociranja morebitne sumljive komunikacije med okuženim sistemom ter oddaljenim nadzornim strežnikom napadalcev.

Kako zaščitite vaše podjetje?

  • redno spremljajte varnostne vire, bodite na tekočem o novoodkritih zlorabah (tudi naša obvestila – www.vni.siwww.cert.si, prijava na e-novičnik Odziv),
  • v svoji organizaciji širite zavedanje o nevarnostih, ki jih lahko prinese odpiranje neznanih priponk v elektronski  pošti – morda vam pride prav infografika, ki jo pošljete sodelavcem (PDF dokument | PNG dokument)
Napotki za zaposlene glede odpiranja priponk
Napotki za zaposlene glede odpiranja priponk
  • redno posodabljajte operacijske sisteme ter vse nameščene programe,
  • če procesi to dopuščajo, priporočamo Windows administratorjem, da globalno onemogočijo izvajanje makrov v MS Office produktih (primarno Excel in Word),
  • končnim uporabnikom (delovnim postajam) onemogočite izvajanje Powershell skript in ukazov,
  • poskrbite za varnostno kopijo podatkov, tako strežnikov kot delovnih postaj,
  • uporabljajte redno (in dosledno) posodobljen antivirusni program .

Tovrstna zlonamerna prejeta sporočila lahko posredujete tudi na SI-CERT (cert@cert.si). Nadaljnja analiza in morebitni dodatni ukrepi z naše strani lahko pripomorejo k zajezitvi širjenja okužb.

Preberite tudi

SI-CERT TZ007 / VelvetSweatshop

Leta 1989 je bil v časopisu Seatle Times objavljen članek z naslovom “Inside Microsoft: A ‘Velvet Sweatshop’ or a High-Tech Heaven?” ki opisuje takratne razmere v podjetju Microsoft: “… has a lot …
Več

Deset let programa ozaveščanja Varni na internetu

Februarja 2011 je zaživel nacionalni program ozaveščanja o informacijski varnosti. Takratno praznino na področju izobraževanja odraslih uporabnikov in malih podjetij je zapolnil program Varni na internetu, ki ga zadnjih deset …
Več

Hiter pregled leta 2020

Čas je, da pogledamo, kako je potekalo leto 2020, potegnemo črto pod statistiko in razmislimo o tem, kaj podatki kažejo. Seveda je bilo lansko leto zelo posebno zaradi epidemije COVID-19 …
Več