Λαμβάνεται spam που περιέχει παλιά σας μηνύματα; Γνωρίστε το malware Emotet & δείτε πως το αντιμετωπίσαμε
Το Emotet, είναι το μεγαλύτερο botnet κακόβουλου λογισμικού. Τα τελευταία χρόνια ήταν αδρανές, εδώ και μερικούς μήνες όμως επέστρεψε δριμύτερο με τις επιθέσεις να αυξάνονται καθημερινά σε όλο τον κόσμο.
Η μόλυνση με Emotet είναι εξαιρετικά εύκολη για μη έμπειρους χρήστες & απροστάτευτα συστήματα, ενώ όταν θύματα είναι εταιρικά δίκτυα σχεδόν πάντοτε ακολουθεί εκβιασμός τύπου ransomware, με κλείδωμα αρχείων και απαίτηση λύτρων για αποκατάσταση της λειτουργίας.
Χθες το τμήμα τεχνικής υποστήριξης της WEBTEC ενημερώθηκε για ενδεχόμενη μόλυνση υπολογιστή εταιρείας-πελάτη και αμέσως σήμανε συναγερμός.
Το διακύβευμα ήταν η ίδια η λειτουργία της εταιρείας, αφού μέσα σε λίγα λεπτά τα email δεκάδων υπαλλήλων κατακλύστηκαν από μηνύματα που φαινόντουσαν πως στέλνονται από πελάτες, ενώ το χειρότερο περιείχαν παλαιότερη πραγματική αλληλογραφία. Φυσικά σαν επισυναπτόμενο αρχείο υπήρχε έγγραφο του word που περιείχε μακροεντολές μόλυνσης.
Ακαριαία σε συνεννόηση με την διοίκηση της εταιρείας λήφθηκε η απόφαση άμεσης αλλαγής όλων των κωδικών των email διευθύνσεων, ως προληπτικό μέτρο. Οι νέοι κωδικοί ορίστηκαν από εμάς, ενώ παράλληλα τεχνικός της εταιρείας μας, βρέθηκε εντός 1 ώρας στην έδρα της επιχείρησης.
Πραγματοποιήθηκε έλεγχος σε όλους τους υπολογιστές και ευτυχώς το δίκτυο του πελάτη μας δεν είχε μολυνθεί. Αυτό που στην πραγματικότητα συνέβαινε ήταν πως λάμβανε μηνύματα από συνεργάτες & πελάτες της εταιρείας που δυστυχώς είχαν μολυνθεί. Έτσι, επαναγκαταστάθηκαν όλοι οι λογαριασμοί αλληλογραφίας στο σύνολο των υπαλλήλων και η κανονική λειτουργία της εταιρείας επανήλθε σε λιγότερο από 2 ώρες.
Παράλληλα δημιουργήσαμε ειδικό script, το οποίο εγκατάσταθηκε στον mail server που μισθώνει από εμάς η επιχείρηση, ώστε να αποκλείονται μηνύματα που στέλνονται από το botnet Emotet. Με το συγκεκριμένο script επιτεύχθηκε μείωση 98% μέσα στην πρώτη ώρα, μπλοκάροντας 1.459 μολυσμένα ηλεκτρονικά μηνύματα. Την επόμενη ημέρα, πραγματοποιήθηκε πρόσθετο configuration και η λήψη σχετικών email είχε σχεδόν μηδενιστεί.
Παράλληλα πραγματοποιήσαμε ιχνηλάτηση των μολυσμένων μηνυμάτων και εντοπίστηκαν πελάτες & συνεργάτες της εταιρείας, που πιθανότατα είχαν μολυνθεί από το Emotet. Ενημερώθηκε κάθε ένας ξεχωριστά από τον πελάτη μας, ώστε και εκείνοι με τη σειρά τους να λάβουν μέτρα αντιμετώπισης και στις δικές τους επιχειρήσεις.
Συμπερασματικά και ο λόγος που μοιραζόμαστε αυτή την ιστορία στο blog μας, είναι η ανάγκη για λήψη μέτρων ασφαλείας στα δίκτυα κάθε επιχείρησης ανεξάρτητα από το μέγεθος της. Στην WEBTEC δίνουμε ολοένα και μεγαλύτερη βαρύτητα στις υπηρεσίες κυβερνοασφάλειας, για να βοηθήσουμε τους πελάτες μας να θωρακίσουν τις επιχειρήσεις τους.