Vládní kyberbezpečnostní CERT tým dnes zveřejnil varování o hrozbě, která cílí na organizace v České republice skrze různé oblasti jejich působení. Jde o zvýšenou aktivitu botnetu Emotet, který má být kombinován s malwarem TrickBot a ransomwarem Ryuk.
Vládní CERT hrozbu popisuje takto:
Vstupním bodem do sítí organizací je malware Emotet, který se do počítače oběti nejčastěji dostane otevřením přílohy phishingového e-mailu a následným spuštěním makra. Emotet je schopen navázat na předchozí legitimní e-mailové konverzace oběti, a tak zvýšit zdání legitimnosti emailu a pravděpodobnost, že oběť nakaženou přílohu otevře. I takový phishingový e-mail je ale možné identifikovat. Zatímco se zobrazené jméno adresáta ukáže jako jméno legitimní osoby, se kterou oběť již dříve navázala komunikaci, e-mailová adresa odesílatele bývá odlišná a může sloužit jako vodítko k rozpoznání phishingu. Pokud máte pochybnosti, telefonicky si ověřte, že zpráva skutečně přišla od reálného odesílatele. Dále také při otevírání souborů nepovolujte makra.
Pokud k otevření nakažené přílohy dojde, Emotet do počítače oběti stáhne další malware TrickBot. TrickBot je pokročilý bankovní trojan, který sbírá citlivá data jako například registrové klíče, přihlašovací jména a hesla, data z internetových prohlížečů nebo e-maily. V lokální síti se rozšíří pomocí získaných přihlašovacích údajů, využitím zranitelností (EternalBlue) neaktualizovaných systémů nebo prolomením slabých hesel. TrickBot také vypíná službu Windows Defender, aby snížil šanci na odhalení.
Poté, co TrickBot získá ze sítě oběti maximum informací, útok může dál pokračovat nainstalováním ransomwaru Ryuk. Ransomware zašifruje data organizace, paralyzuje její celou síť a následně po oběti požaduje výkupné. Výkupné obecně nedoporučujeme platit. I po zaplacení si nemůžete být jisti, že útočník data skutečně dešifruje. Největší zárukou pro obnovení dat jsou offline zálohy.
Bezpečnostní tým rovněž uvádí IP adresy C&C serverů plus hashe souborů:
- hXXps://5.182.210[.]132:443 09.12.2019
- hXXps://23.94.70[.]12:443 09.12.2019
- hXXps://64.44.51[.]106:443 06.12.2019
- hXXps://85.143.220[.]41:443 02.12.2019
- hXXps://107.172.29[.]108:443 02.12.2019
- hXXps://107.181.187[.]221:443 28.11.2019
- hXXps://172.82.152[.]136:443 09.12.2019
- hXXps://184.164.137[.]190:443 09.12.2019
- hXXps://186.232.91[.]240:449 26.10.2019
- hXXps://194.5.250[.]62:443 09.12.2019
- hXXps://195.54.162[.]179:443 09.12.2019
- hXXps://198.46.161[.]213:443 09.12.2019
- E051DEC1ED1B04419A9CD955199E2DE9
- DBAE3CFBB12A99DFACB14294EB431E5C
