Malware Emotet atakuje Francję, Japonię i Nową Zelandię

Malware Emotet atakuje Francję, Japonię i Nową Zelandię

8 września 2020 0 przez Rafał Skrzypek

Emotet znów w natarciu. Przez parę miesięcy nie było o nim słychać, ale od połowy lipca znów dał o sobie znać. W ciągu kilku dni wspiął się na szczyt wśród dziesiątki najbardziej aktywnych malware. Oznacza to, że cyberprzestępcy opracowali nowe wektory ataku i skutecznie je wykorzystali.

Z informacji francuskiej agencji do spraw cyberbezpieczeństwa ANNSI wynika, że operatorzy malware przechwytują maile w firmach, do których udało im się dostać. “Wskrzeszają” stare wątki korespondencji i dodają przy tym linki lub załączniki zainfekowane Emotetem. Taki sposób ataku jest potencjalnie bardzo niebezpieczny, bo ofiara nie spodziewa się zagrożenia i bez namysłu otwiera taką wiadomość.

Pół miliona maili dziennie

Aktualna kampania skupia się najprawdopodobniej na plikach .doc i zaszyfrowanych archiwach .zip załączanych do wiadomości. Dotyczy głównie trzech krajów: Francji, Japonii oraz Nowej Zelandii. Oczywiście zagrożone są też inne kraje, ale te trzy doświadczają dziś największej fali wysyłki zainfekowanych e-maili. Według Microsoftu od 17 lipca Emotet wysyła 500 tys. wiadomości dziennie!

Gdy dojdzie do infekcji, cyberprzestępcy przejmują skrzynkę mailową ofiary i uruchamiają proces wysyłania korespondencji do jej kontaktów. Dodatkowo Emotet jest jak otwarta brama prowadząca do infekcji innymi szkodliwymi programami. Najgroźniejszym z nich jest aktualnie QakBot, który odpowiada za infekowanie maszyn ransomware o nazwie ProLock.

Niestety malware potrafi się przenosić w sieci poziomo, więc jeden zainfekowany komputer może doprowadzić do rozprzestrzenienia się zagrożenia na wszystkie komputery w sieci. Jedynym sposobem na zatrzymanie infekcji, gdy administratorzy wykryją zagrożenie, jest wyłączenie wszystkich komputerów w sieci. Potem mozolne oczyszczenie ich, a najlepiej przywrócenie z kopii zapasowych.

W ostatnich dniach operatorom Emotet udało się zainfekować sieć sądów w Paryżu, co spowodowało niemałe zamieszanie i skierowało uwagę na zagrożenie najwyższych francuskich władz. Francuskie Ministerstwo Spraw Wewnętrznych zareagowało blokując wszystkie wiadomości z załączonymi plikami .doc, zaś ANSSI wydała ostrzeżenie, aby wszystkie rządowe instytucje z uwagą podchodziły do otwieranych wiadomości e-mail.

Aktualnie brak ostrzeżeń dla Polski, ale uważajcie na załączniki poczty, jeśli współpracujecie z firmami z wymienionych wyżej trzech państw.