Co dziesiąta spółka w Polsce jest atakowana przez trojana Emotet

9 marca, 2020

Emotet to trojan bankowy, który rozprzestrzenia się poprzez załączniki do wiadomości email zawierające linki do szkodliwych stron. Pełni on rolę mechanizmu pobierającego inne złośliwe oprogramowanie – trojana TrickBot i ransowmware Ryuk. Dzięki swojej polimorficznej naturze, potrafi ominąć tradycyjne metody wykrywania zagrożeń oparte na sygnaturach, co powoduje że jest trudny do zwalczenia. Kiedy dostanie się do systemu, podczepia się pod działające procesy i łączy się ze zdalnym serwerem C&C, skąd odbiera polecenia, np. ściągania lub wysyłania skradzionych danych (us-cert.gov). 

Zazwyczaj Emotet wykorzystuje fałszywe firmowe wiadomości e-mail wzywające do zapłaty faktur, często podszywając się pod znane marki zaufanych instytucji. Ta strategia pozwoliła mu dotrzeć do ofiar w USA (52% ataków), Japonii (22%) i krajach Unii Europejskiej (japan.zdnet.com). Incydent odnotowany w grudniu 2019 spowodował, że miasto Frankfurt, gdzie znajduje się siedziba Europejskiego Banku Centralnego, musiało wyłączyć swoją sieć (zdnet.com). Według najnowszego raportu Check Point Research, co dziesiąta polska spółka w ostatnim półroczu padła ofiarą Emoteta (cyberdefence24.pl za Check Point).

Emotet: infekowanie według krajów

W Japonii malware działa z dużo większą agresją w porównaniu do poprzednich lat. Zwiększona aktywność została odnotowana pod koniec 2019 roku, a ostatnio, w związku z wybuchem epidemii koronawirusa w Chinach, Emotet zmienił swoją taktykę i teraz rozprzestrzenia się w Japonii w formie fałszywych ostrzeżeń zdrowotnych z niepokojącymi doniesieniami o przypadkach koronawirusa w prefekturach Gifu, Osaki i Tottori (IBM X-Force Exchange).

Emotet infekuje Japończyków i Chińczyków.

Ochrona przed Emotet wymaga bardziej złożonych środków. Oprócz profilaktyki, skutecznym sposobem radzenia sobie z nim jest wykrywanie wskaźników włamania (IoC) oparte na analizie behawioralnej. Może stosować ono wzorce zachowań, w tym taki, który opisuje symptomy obecności Emotet w sieci.

Takie rozwiązanie skuteczne będzie w organizacjach:

Wzorzec o nazwie InformationStealers jest standardowym elementem wykorzystywanym do wykrywania zagrożeń przez Flowmon ADS. Wzorce można określić jako opis, w jaki sposób różne zagrożenia dają znać o swojej obecności w sieci. Pozwalają one systemowi odróżnić zagrożenia od innych działań, kiedy monitoruje i ocenia ruch. W przeciwieństwie do tradycyjnie wykorzystywanych sygnatur, wzorce nie szukają konkretnego fragmentu kodu, dlatego mają zdolność do identyfikacji zagrożeń nawet jeśli one zmieniają się i rozwijają w swoim cyklu życiowym.

Mówi Artur Kane, Dyrektor Marketingu Produktowego we Flowmon Networks.

Flowmon - wzorce.

Żadne środki bezpieczeństwa nie są niezawodne i zaleca się utrzymywać kilka warstw ochrony oraz dbać o ich aktualność, w tym antywirus, wykrywanie wskaźników IoC na firewallach, systemy wykrywania włamań (IDS) oraz analizę behawioralną w sieci.

Emotet rozprzestrzenia sią przez sfałszowane wiadomości email, dlatego użytkownicy powinni zachować ostrożność otwierając załączniki, zwłaszcza te, które zawierają faktury lub inne dokumenty od podmiotów zewnętrznych i zgłaszać każdy podejrzany przypadek do działu bezpieczeństwa.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]