Σταματήστε το Emotet με Sophos
To Υπουργείο Εσωτερικής Ασφάλειας των Ηνωμένων Πολιτειών θεωρεί ότι το Emotet αποτελεί μία από τις πλέον καταστροφικές και δαπανηρές απειλές για τις Αμερικάνικες επιχειρήσεις σήμερα. Δείτε παρακάτω πως αντιμετωπίζεται από τη Sophos.
Το σκουλήκι (για άλλους banking Trojan) Emotet είναι μία πραγματική απειλή που πρέπει να λάβετε σοβαρά υπόψη σας. Μάλιστα, το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ θεωρεί ότι ο Emotet είναι από τις πιο καταστροφικές και δαπανηρές απειλές για τις επιχειρήσεις των Ηνωμένων Πολιτειών της Αμερικής αυτή τη στιγμή. Δεν περιορίζεται πάντως σε μια χώρα. Έχει παγκόσμιο εμβέλεια με μολύνσεις να αναφέρονται σε κάθε ήπειρο.
Το Emotet είναι μια πολύ εξελιγμένη απειλή που, εφόσον εισχωρήσει σε ένα δίκτυο, μπορεί να μολύνει γρήγορα ολόκληρο τον οργανισμό. Όπως και τα άλλα σκουλήκια, εξαπλώνεται χωρίς τη βοήθεια κάποιου χρήστη, με αποτελέσμα να είναι σε θέση να προκαλέσει εκτεταμένες ζημιές.
Μόλις βρεθεί σε έναν υπολογιστή, ο Emotet έχει τρεις βασικούς στόχους:
- Να διαδοθεί σε όσο το δυνατόν περισσότερους υπολογιστές.
- Να αποστείλει κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου για να μολύνει και άλλους οργανισμούς (καταστρέφοντας τη φήμη του αποστολέα σας κατά τη διάρκεια της διαδικασίας).
- Να κατεβάσει κάποιο φορτίο με κακόβουλο λογισμικό (malware). Παραδοσιακά, τέτοια φορτία (payloads) αποτελούν ως επί το πλείστον τραπεζικά Trojans, με το Trickbot να είναι το πιο διαδεδομένο από αυτά. Το payload του εισάγει κώδικα στο πρόγραμμα περιήγησής σας για να χρεώνει αυτόματα τους λογαριασμούς της τράπεζάς σας και του PayPal με την επόμενη σύνδεσή σας.
Σε πολλές περιπτώσεις, το Emotet επιχειρεί επίσης να κλέψει δεδομένα, μετατρέποντας την μόλυνση από κακόβουλο λογισμικό σε μία κανονική παραβίαση δεδομένων. Ορισμένες παραλλαγές του Emotet αποκαλύπτουν διευθύνσεις ηλεκτρονικού ταχυδρομείου και ονόματα από δεδομένα και αρχεία πελατών ηλεκτρονικού ταχυδρομείου, ενδεχομένως για να πωληθούν ως μέρος μιας ευρύτερης λίστας και να χρησιμοποιηθούν για την εξάπλωση ακόμα περισσότερων ανεπιθύμητων μηνυμάτων (spam). Κάποιες άλλες παραλλαγές επιθεωρούν το πρόγραμμα περιήγησης ιστού σας, κλέβουν το ιστορικό περιήγησης και αποθηκεύουν ονόματα χρηστών και κωδικούς πρόσβασης.
Σαν να μην έφταναν τα παραπάνω, το Emotet μπορεί επίσης να αναλάβει και τον ρόλο παραπετάσματος καπνού για να καλύψει στοχευμένες επιθέσεις ransomware. Την ώρα που εταιρείες και οργανισμοί ασχολούνται με τις μολύνσεις του Emotet, ransomware όπως το BitPaymer εκμεταλλεύονται την κατάσταση για να κρατήσουν τα δεδομένα του οργανισμού υπό ομηρία.
Τι είναι αυτό που κάνει το Emotet τόσο επικίνδυνο;
Δικαίως το Emotet χαρακτηρίζεται ως μία από τις πιο δαπανηρές και καταστροφικές απειλές.
- Απαιτεί μόνο έναν απροστάτευτο υπολογιστή για να μολύνει ολόκληρο τον οργανισμό. Μόλις εισέλθει, εξαπλώνεται γρήγορα εντός του δικτύου.
- Εξελίσσεται διαρκώς. Οι κυβερνο-απατεώνες πίσω τη συγκεκριμένη απειλή εργάζονται 24 ώρες την εβδομάδα, απελευθερώνοντας πολλαπλές νέες παραλλαγές του και διευθύνσεις «call-home» σε καθημερινή βάση.
- Μπορεί και επαναμολύνει. Το Emotet προσπαθεί συνεχώς να εξαπλώνεται, και συχνά επαναμολύνει υπολογιστές που έχουν «καθαριστεί».
Σταματήστε το Emotet με Sophos
Οι προηγμένες τεχνολογίες της Sophos μπορούν να σας βοηθήσουν να προστατέψετε τον οργανισμό σας από το Emotet.
Το Intercept X Advanced με EDR χρησιμοποιεί τη δύναμη της προηγμένης μηχανικής εκμάθησης για τον εντοπισμό και τον αποκλεισμό των αρχείων του Emotet, ακόμη και των νέων και άγνωστων παραλλαγών του.
Η αναζήτηση απειλών «cross-estate» σας δίνει τη δυνατότητα να κυνηγήσετε κρυφές απειλές, ενώ οι καθοδηγούμενες έρευνες σας δείχνουν ακριβώς πως εισήλθε η απειλή, ποιοι υπολογιστές σας έχουν επηρεαστεί και πως εξαπλώνεται η απειλή, ώστε να μπορείτε να λάβετε τα απαραίτητα διορθωτικά μέτρα.
Στο παρακάτω παράδειγμα μπορείτε να δείτε πως το Intercept X σας παρέχει πλήρη ορατότητα σε κάθε βήμα της αλυσίδας επίθεσης. Σημείωση: η Sophos έπρεπε να απενεργοποιήσει πολλαπλά επίπεδα προστασίας για να επιτρέψουν στην επίθεση να φτάσει σε αυτό το σημείο – κανονικά θα είχε μπλοκαριστεί πολύ νωρίτερα.
Το προηγμένο sandboxing του Sophos XG Firewall εξετάζει τα εκτελέσιμα αρχεία. Η παρακολούθηση συμπεριφοράς HIPS εντοπίζει το Emotet, εμποδίζοντας την είσοδό του στον οργανισμό. Το XG Firewall επίσης αποκλείει όλες τις γνωστές διευθύνσεις IP που σχετίζονται με το Emotet.
Η προστασία ηλεκτρονικού ταχυδρομείου (τόσο στο XG Firewall όσο και στο Sophos Email) μπορεί επίσης να ανιχνεύσει εξερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου για να ανιχνεύσει το spam που προέρχεται από το Emotet και να προσδιορίσει ποιοι υπολογιστές το αποστέλλουν.
Συνεργατικές δυνάμεις εναντίον του Emotet με συγχρονισμένη ασφάλεια
Το Intercept X και το XG Firewall είναι τόσο ισχυρά εργαλεία που μπορούν να σταματήσουν από μόνα τους το Emotet – και ακόμα καλύτερα όταν είναι μαζί. Μοιράζονται σε πραγματικό χρόνο πληροφορίες απειλής και ανταποκρίνονται αυτόματα σε περιστατικά. Όταν το Intercept X εντοπίσει το Emotet να τρέχει, ειδοποιεί το XG Firewall, το οποίο απομονώνει αυτόματα τους μολυσμένους υπολογιστές, εμποδίζοντας το «lateral movement». Το Intercept X στη συνέχεια καθαρίζει τη μόλυνση, ειδοποιώντας το τείχος προστασίας μόλις αφαιρεθεί το κακόβουλο λογισμικό. Σε αυτό το σημείο, το XG Firewall αποκαθιστά την πρόσβαση στο δίκτυο.
Το εκπληκτικό είναι ότι, δουλεύοντας μαζί, εμποδίζουν το Emotet να κινηθεί εντός του οργανισμού σας. Και τα καλύτερα νέα; Όλα αυτά συμβαίνουν αυτόματα. Χωρίς να έχετε την παραμικρή επαφή. Σε δευτερόλεπτα.
Μπορείτε να διαβάσετε περισσότερα για όλα όσα έχει μάθει η Sophos για την αντιμετώπιση του Emotet στην ιστοσελίδα, Naked Security και στο άρθρο: Καταπολεμώντας το Emotet: μαθήματα από την πρώτη γραμμή. Η Sophos έχει επίσης προετοιμάσει ένα άρθρο στη γνωσιακή βάση της για τους πελάτες της: Αντιμετωπίζοντας μολυσματικά «ξεσπάσματα» των κακόβουλων προγραμμάτων Emotet και TrickBot.