EMOTET este un malware-ul de tip bancar, care infecteaza computerele care folosesc sistemul de operare Microsoft Windows, prin intermediul link-urilor sau a atasamentelor malspam infectate (e.g. PDF, DOC, etc.). EMOTET este un troian cunoscut, descoperit in urma cu aproximativ 6 ani, mai intai in Europa si mai apoi in SUA.
Potrivit specialistilor, EMOTET se activeaza pe computerul unui utilizator, prin intermediul link-urilor sau a atasamentelor malspam din e-mail-uri, cu intentia de a fura date financiare. Principalele informatii vizate initial erau cele de ordin financiar, dar ulterior EMOTET a evoluat in complexitate si a dobandit capacitatea de a efectua alte atacuri in interiorul unui dispozitiv. Tinta primeste mesaje care de regula par sa provina de la adrese legitime, institutii sau chiar persoane fizice. Mai mult, in anumite cazuri mesajele pot proveni direct de la o sursa reala, daca aceasta a fost deja infectata cu EMOTET.
Expertii CERT-RO avertizeaza ca in acest moment exista 3 modalitati prin care va puteti infecta PC-ul sau reteaua cu EMOTET, in toate cazurile pornindu-se de la un mail tip spam:
- Mail de tip spam, cu un atasament ce contine macro-uri care descarca malware;
- Mail de tip spam cu atasament ce contine macro-uri, dar fisierul malitios este inclus intr-o arhiva cu parola (parola este comunicata in textul mail-ului, pentru ca victima sa il poata dezarhiva);
- Mail de tip spam care are inclus in text un link. Apasand pe acel link, victima ajunge sa isi infecteze dispozitivul cu malware.
Se recomanda, in primul rand, verificarea adresei reale de mail de pe care primim aceste mesaje. Acest lucru se poate face prin verificarea sursei (header).
Principalii pasi care trebuie avuti in vedere ar fi sporirea vigilentei, care este principalul atu pe care un utilizator obisnuit il are oricand la dispozitie. Fiti atenti atunci cand verificati e-mail-urile primite, in special cele care contin atasamente! EMOTET este inca activ, se propaga prin intermediul e-mail-ului si vizeaza deopotriva persoane fizice, institutii publice sau companii private.
In cazul in care aveti suspiciuni legate de veridicitatea informatiei din mail, verificati autenticitatea informatiilor oferite de presupusul expeditor direct cu acesta, utilizand alt canal de comunicare (preferabil telefonul).
Apoi, inainte de a face o actiune care ar putea dauna, scanati cu o solutie de securitate instalata pe dispozitiv, sau cu una disponibila gratis online (ex: Virus Total) link-urile sau atasamentele suspecte din casuta dvs. de mail. Nu uitati sa aplicati la timp update-urile pentru aceste solutii!
Scanarea cu antivirus nu este suficienta insa. EMOTET nu este usor de identificat si interceptat, deoarece eludeaza de multe ori solutiile antivirus conventionale. Este un virus polimorf, codul se schimba usor pentru a evita detectarea de catre scanerele de malware bazate pe semnaturi. De asemenea, EMOTET detecteaza cand ruleaza pe o masina virtuala. De indata ce este inregistrat un mediu sandbox, programul intra in modul stand-by si nu ia nicio actiune daunatoare in acel moment.
In plus, utilizatorilor li se recomanda sa implementeze filtre la gateway-ul de e-mail pentru a inlatura e-mailurile cu indicatori cunoscuti de spam sau malware si pentru a bloca adresele IP suspecte din firewall.
E-mailurile suspecte trebuie raportate departamentului IT pentru izolare si investigare. Verificati periodic regulile contului de e-mail, care pot fi setate pentru redirectionarea automata a tuturor mesajelor, ceea ce ar putea duce la o scurgere de date, daca exista o infectie.
Pentru a va proteja eficient impotriva EMOTET, trebuie sa va concentrati in principal pe poarta principala de acces a malware-ului: comunicarea prin e-mail. Deoarece EMOTET se ascunde adesea in fisierele Microsoft Office si are nevoie de macrocomenzi pentru a putea instala malware-ul dorit, este logic sa nu le permiteti. Daca totusi nu va puteti desfasura activitatea fara macrocomenzi, este posibil sa le permiteti numai celor semnate.
Orice actualizare de securitate implementata trebuie instalata imediat pentru sistemele de operare, programele antivirus, browserele web, clientii de e-mail si programele de tip Office.
Efectuati in mod regulat backup al datelor, in special a celor esentiale. Infectia cu EMOTET poate duce, de asemenea, la un ransomware, astfel ca este vital sa mentineti copii de siguranta ale datelor pentru a permite recuperarea acestora, in cazul unei infectii cu EMOTET. Deoarece ransomware-ul infecteaza in mod obisnuit dispozitivele de stocare conectate, asigurati-va ca backupurile dvs. sunt stocate offline sau sunt deconectate fizic, atunci cand nu sunt utilizate!
Accesul la reteaua companiei ar trebui monitorizat continuu, de catre cei responsabili din Departamentele IT, deoarece astfel se poate determina in timp util daca a aparut o infectie cu EMOTET.
Dezactivati serviciile inutile. EMOTET profita adesea de vulnerabilitatile gasite in serviciile care ruleaza in background, pentru a se raspandi pe alte computere din retea. Remote Desktop Protocol (RDP), tehnologia care ne permite lucrul de la distanta. este un astfel de exemplu. Utilizatorilor li se recomanda sa dezactiveze astfel de servicii daca nu sunt necesare, pentru a impiedica malware-ul sa le exploateze si sa se propage in retea
Instalati o solutie de control al aplicatiilor. Utilizatorii pot lua in considerare instalarea unui astfel de software care ofera lista alba de aplicatii si/sau directoare. Astfel, se permite rularea exclusiv a programelor aprobate, in timp ce se restrictioneaza altele. Este o practica buna de securitate pentru a proteja un sistem informatic.
Asigurati-va routerele! EMOTET poate exploata retele Wi-Fi nesigure, pentru a raspandi malware-ul, astfel ca este extrem de important sa va protejati retelele. Utilizatorii si administratorii de sistem sunt sfatuiti sa faca acest lucru, asigurandu-va ca modificati parolele implicite si ca utilizati o parola puternica pentru routerele dvs.
Se recomanda verficarea adresei de mail de unde vin mesajele.