Τους περασμένους μήνες η ζωή όλων μας έχει επηρεαστεί, με τις εξελίξεις στην παγκόσμια υγεία, την πανδημία αλλά και τις αλλαγές που έχουν επέλθει σε μεγάλο βαθμό από την μετατόπιση μεγάλων και μικρών οργανισμών σε μοντέλα full ή part time απομακρυσμένης εργασίας.
Στο πλαίσιο αυτό φαίνεται, να βρίσκουν ειδικά τις τελευταίες εβδομάδες ακόμα πιο πρόσφορο έδαφος επιθέσεις Emotet malspam. Σύμφωνα με την ESET, γνωστή εταιρεία για την ασφάλεια στον κυβερνοχώρο και σε έρευνα που πραγματοποίησε από τον Ιούλιο μέχρι τον Οκτώβριο σε παγκόσμιο επίπεδο, η Ελλάδα κατέχει την πρώτη θέση στη συγκεκριμένη επίθεση μέσω Emotet με ποσοστό 17.7% με την Ιαπωνία και την Λιθουανία να ακολουθούν.
Τι είναι όμως το Emotet και που αποσκοπεί;
To Emotet είναι ένα ιομορφικό λογισμικό που ανιχνεύθηκε για πρώτη φορά το 2014 και στις τελευταίες εκδόσεις του λειτουργεί κυρίως ως δούρειος ίππος (trojan) που διαδίδεται μέσω email. Η επίθεση λειτουργεί ως εξής: από mail λογαριασμούς που παραβιάστηκαν, υποκλάπηκαν αυτούσια απεσταλμένα μηνύματα και επαφές τους. Στη συνέχεια, ο ίδιος ο ιός με μία μέθοδο που λέγεται “conversation hijacking” για να εξαπλώσει περαιτέρω τον εαυτό του, αποστέλλει στις επαφές που υπέκλεψε, αυτούσια τα απεσταλμένα μηνύματα, τα οποία έχουν αλλαγμένο το επισυναπτόμενο αρχείο με κάποιο μολυσμένο.
Οι αποστολές αυτές γίνονται χρησιμοποιώντας κάποιο botnet, δηλαδή compromised υπολογιστή και email λογαριασμό κάποιου άλλου. Οπότε ο παραλήπτης παραλαμβάνει ένα μήνυμα, από κάποια επαφή που φαινομενικά του φαίνεται οικεία, με περιεχόμενο που επίσης του φαίνεται οικείο και πέφτει εύκολα στην παγίδα να ανοίξει το επισυναπτόμενο που έχει λάβει και να συνεχίσει τη διάδοση του ιομορφικού λογισμικού.
Ο δούρειος ίππος κρύβεται στο επισυναπτόμενο αρχείο που συνοδεύει το μήνυμα, αλλιώς σε κάποιο κακόβουλο script ή link που καλείται ο τελικός παραλήπτης να πατήσει εντέχνως. Μέσω αυτού ενεργοποιούνται μακροεντολές που εγκαθιστούν malware στον υπολογιστή του χρήστη, το οποίο χρησιμοποιείται για υποκλοπή κωδικών, τραπεζικών καρτών ή τον απομακρυσμένο έλεγχο του υπολογιστή. Στην Ελλάδα έχει υπάρξει, όπως αναφέραμε αρκετά εκτεταμένη επίθεση αυτού του είδους με αποτέλεσμα να βγάλει και σχετική ανακοίνωση η δίωξη ηλεκτρονικού εγκλήματος.
Τι μέτρα πρέπει να ληφθούν;
Η επίθεση είναι αρκετά καλοσχεδιασμένη με αποτέλεσμα το σύνολο των email φίλτρων να αποτυγχάνουν να εντοπίσουν τον κακόβουλο κώδικα, καθώς σε επίπεδο αξιοπιστίας της αποστολής και τους βασικούς ελέγχους που κάνει ένας mail server (dkim, spf, dmarc) δεν εντοπίζεται κάποιο πρόβλημα. Επίσης επειδή το περιεχόμενο του μηνύματος δεν περιέχει χαρακτήρες ή φράσεις που να ενεργοποιούν κανόνες αποτροπής spam, σε κεντρικό επίπεδο είναι δύσκολο έως αδύνατο να περιοριστεί κάτι τέτοιο. Οι πιο σημαντικές ενέργειες για την προστασία των χρηστών είναι οι παρακάτω:
- H ενημέρωση είναι το Α και το Ω. Η δύναμη της επίθεσης προκύπτει από την ικανότητα της να εξαπλώνεται από ανυποψίαστους χρήστες που κατεβάζουν το κακόβουλο λογισμικό στον υπολογιστή τους και ανακυκλώνουν πρακτικά τον κύκλο των επιθέσεων. Δεν θα πρέπει να ανοίγετε link ή αρχεία αμφιβόλου περιεχομένου και αυτό που ενδείκνυται είναι είτε να διαγράφονται (χωρίς να ανοιχτούν) είτε να ενημερώνεται ο IT της εταιρείας.
- Να ακολουθείτε βασικές συμβουλές ασφαλείας για την προστασία των email σας. Εάν εντοπίσετε επαναλαμβανόμενες αποστολές Emotet επιθέσεων στο email σας από συγκεκριμένους χρήστες μπορείτε να τους μπλοκάρετε με τα αντίστοιχα φίλτρα:
Σε περίπτωση που χρησιμοποιείτε το Horde -> Preferences -> Filters
Σε περίπτωση που χρησιμοποιείτε το Roundcube -> Settings -> Filters
- Να ελέγχετε αν το πραγματικό email του αποστολέα είναι ίδιο με το εμφανιζόμενο όνομα στην αποστολή που σας έχουν κάνει.
- Επειδή οι συγκεκριμένες επιθέσεις, στόχευαν κυρίως το λειτουργικό των windows και ενεργοποιούνται με μακροεντολές που εκτελούνται, ένα ενημερωμένο πρόγραμμα προστασίας για κακόβουλο λογισμικό, θα προστατέψει τον τελικό χρήστη αλλά και την εξάπλωση του Ιού. Επίσης για επιπλέον προστασία θα μπορούσατε να απενεργοποιήσετε την εκτέλεση μακροεντολών σε εφαρμογές που ανοίγουν αρχεία τύπου .doc και .pdf.
- Κρατήστε το λειτουργικό σας σύστημα ενημερωμένο με όλα τα τελευταία update ασφαλείας.
Αν κάποιος χρήστης λαμβάνει επαναλαμβανόμενη αλληλογραφία από προηγούμενες επικοινωνίες θα πρέπει να ενημερώσει τους εμπλεκόμενους με το email χρήστες για το περιστατικό και τόσο αυτός όσο και αυτοί θα πρέπει να ελέγξουν διεξοδικά τους υπολογιστές τους. Σίγουρα ένας ή και περισσότεροι έχουν μολυνθεί. - Ένα χρήσιμο site με το οποίο μπορείτε να δείτε αν το email σας είχε ή έχει πέσει θύμα της συγκεκριμένης επίθεσης είναι αυτό.
Μπες στη συζήτηση