Το Emotet είναι ένα από τα πιο περιβόητα malware και έχει δημιουργήσει πολλές φορές προβλήματα σε επιχειρήσεις, μέσω των επιθέσεων που πραγματοποιεί στα συστήματά τους. Στην πιο πρόσφατη επίθεσή του, κατάφερε να ρίξει ένα ολόκληρο δίκτυο της Microsoft, προκαλώντας υπερθέρμανση σε υπολογιστές.
Όπως αναφέρει η ομάδα DART (Detection and Response Team) της Microsoft, κακόβουλοι παράγοντες χρησιμοποίησαν το Emotet για να εξαπατήσουν έναν υπάλληλο της Microsoft να ανοίξει ένα κακόβουλο συνημμένο σε ένα email. Μια σειρά γεγονότων που ακολούθησαν οδήγησε σε διακοπή λειτουργίας των βασικών υπηρεσιών του οργανισμού για μία ολόκληρη εβδομάδα, εξαντλώντας τις CPU.
Πραγματοποίηση της επίθεσης
Το Emotet malware κατόρθωσε να αποφύγει όλα τα συστήματα ανίχνευσης, καθώς ελέγχεται από τον command and control server (C2C) του εισβολέα.
Πέντε ημέρες αφού τα διαπιστευτήρια του υπαλλήλου υποκλάπηκαν από το κακόβουλο συνημμένο, το φορτίο του Emotet παραδόθηκε και εκτελέστηκε στον Η / Υ του θύματος.
Σύντομα, οι επιτιθέμενοι άρχισαν να στοχεύουν περισσότερους υπαλλήλους, καθώς και εξωτερικές επαφές τους, κλέβοντας τα διαπιστεύτηριά τους και επηρεάζοντας περισσότερα συστήματα. Το κακόβουλο λογισμικό ανέλαβε τον έλεγχο ολόκληρου του δικτύου αποκτώντας πρόσβαση στο λογαριασμό διαχειριστή.
Οκτώ μέρες, μετά την πρώτη αποστολή του κακόβουλου συνημμένου, ολόκληρο το δίκτυο έπεσε, παρά τις προσπάθειες του τμήματος IT του οργανισμού.
Όλοι οι υπολογιστές που ήταν συνδεδεμένοι στο δίκτυο άρχισαν να αντιμετωπίζουν υπερθέρμανση, πάγωμα, απότομες διακοπές λειτουργίας και επανεκκίνηση λόγω Blue Screen of Death. Επίσης, το κακόβουλο λογισμικό Emotet κατανάλωνε όλο το εύρος ζώνης, επιβραδύνοντας έτσι τη σύνδεση στο διαδίκτυο.
Ολόκληρο το δίκτυο κατέρρευσε, συμπεριλαμβανομένου του δικτύου καμερών παρακολούθησης 185, λόγω του κακόβουλου λογισμικού Emotet.
“Το Emotet κατανάλωσε το εύρος ζώνης του δικτύου σε σημείο που ήταν πρακτικά αδύνατο να χρησιμοποιηθεί για οτιδήποτε άλλο. Ακόμη και τα μηνύματα ηλεκτρονικού ταχυδρομείου δεν μπορούν να περάσουν”, αναφέρει η ομάδα DART.
Προσπάθειες περιορισμού
8 ημέρες μετά το πάγωμα του πρώτου συστήματος, η ομάδα DART της Microsoft κλήθηκε από το θύμα. Κατάφεραν να ελέγξουν την επίθεση, χρησιμοποιώντας ζώνες ασφαλείας με δικαιώματα διαχειριστή. Εγκατέστησαν επίσης νέο antivirus και τα Microsoft Defender ATP και Azure ATP, για να εξουδετερώσουν εντελώς το κακόβουλο λογισμικό.
Η Microsoft συνιστά στους χρήστες να χρησιμοποιούν εργαλεία φιλτραρίσματος ηλεκτρονικού ταχυδρομείου για να αποφύγουν πιθανές επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing) και να εγκαταστήσουν επαλήθευση πολλαπλών παραγόντων για να αποφύγουν την παράνομη πρόσβαση στο σύστημά τους.
