Szyfrowane dyski i „RODO” nie mają szans w starciu z trojanem Emotet

6 listopada, 2018

Emotet jest modularnym koniem trojańskim, który został zaobserwowany po raz pierwszy przez Trend Micro w czerwcu 2014 roku. Według informacji podanych przez CERT Polska, ten rodzaj złośliwego oprogramowania jest ściśle powiązany z innymi trojanami-downloaderami, takimi jak Geodo, Bugat czy Dridex, które uznawane są za warianty należące do jednej rodziny. Ataki szkodliwego oprogramowania Emotet zaobserwowano kilkakrotnie w Polsce, chociaż ofiarami najczęściej zostają użytkownicy anglojęzyczni z USA oraz z Wielkiej Brytanii. W nowej odsłonie Emotet potrafi już nie tylko wykradać dane i adresy e-mail oraz rozsyłać za ich pomocą spam, ale także całe wiadomości, które mogą zawierać tajemnice przedsiębiorstwa. Takie zachowanie trojana znacząco ponosi ryzyko kradzieży informacji oraz konieczność zgłoszenia incydentu (z uwagi na RODO), pomimo włączonego szyfrowania dysków.

Z analizy trojana dowiadujemy się, że typowa infekcja zaczyna się od złośliwego załącznika e-mail, który pobiera trojana Emotet, i który następnie pobiera kolejną zawartość — tak naprawdę może to być dowolna rodzina szkodliwego oprogramowania. Jak wspomniano na początku, Emotet posiada zdolność kradzieży danych z zainfekowanych urządzeń, w tym adresów e-mail na liście kontaktów. W tym przypadku złośliwe oprogramowanie ponownie wykorzystuje zebrane e-maile do rozsyłania spamu. Odbiorca takiej wiadomości sądzi, że wiadomość pochodzi od znanego adresu. To bardzo uwiarygadnia nadawcę, ale w rzeczywistości jest to zwykły spoofing. Teraz jednak do złośliwego oprogramowania dodano moduł, który kradnie pełną treść wiadomości e-mail, w tym temat i metadane wszystkich wiadomości e-mail, które zostały wysłane lub odebranych w ciągu ostatnich 180 dni za pomocą interfejsu Outlook Messaging API (MAPI). Następnie trojan przetwarza te dane kodując je w base64, przechowuje w pliku tymczasowym na dysku twardym i ostatecznie przesyła na serwer przestępcy. Po pewnym czasie może się okazać, że z firmy zostały wykradzione bardzo ważne dane, które w praktyce znajdowały się na zaszyfrowanym dysku komputera.

Trojan Emotet mapa ofiar

Przed odbieraniem wiadomości od nadawców, którzy podszywają się pod inne adresy e-mail, dobrze chronią filtry antyspamowe. Zarówno odbiorca jak i nadawca powinni mieć wdrożone na serwerze pocztowym zabezpieczenia w postaci SPF, DKIM, DMARC oraz RBL. Firmy, które posiadają wymienione zabezpieczenia, są w stanie znacznie ograniczyć otrzymywanie spamu podszywającego się pod wiarygodnych nadawców. Dodatkowo systemy zapobiegające kradzieży plików i informacji (Data Leak Prevention) okazują się niezbędne.

Obejście filtrów antyspamowych na dużą skalę jest dla autorów Emoteta na pewno trudne, ale bardziej niepokojące jest to, że to szkodliwe oprogramowanie może być wykorzystywane w bardziej ukierunkowanych, socjotechnicznych atakach. I choć sam Emotet jest bardziej downloaderem niż konkretnym typem wirusa, to wiadomo, że w ostatniej fazie można pobrać bardziej zaawansowanego szkodnika. Przekonały się o tym państwowe firmy w USA, kiedy Emotet pobrał ransomware i zaszyfrował pliki.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]