Emotet yazılımı halk sağlığı merkezini vurdu. Litvanya Ulusal Halk Sağlığı Merkezi’nin (NVSC) ve birkaç belediyenin iç ağları, ülkenin devlet kurumlarını hedefleyen büyük bir kampanyanın ardından Emotet kötü amaçlı yazılımına yakalandı.
NVSC yetkilileri bugün yayınlanan bir açıklamada, “Virüs bulaşan alıcılar virüslü mesajları açtığında, virüs kurumların dahili ağlarına girdi” dedi.
“Virüs bulaşmış bilgisayarlar, ek dosyalar indirdikten sonra, sahte e-postalar göndermeye veya başka tür kötü amaçlı faaliyetlerde bulunmaya başladı.”
Emotet kötü amaçlı yazılımı Litvanya Ulusal Halk Sağlığı Merkezini vurdu
NVSC uzmanları tarafından daha önce e-posta yoluyla iletişime geçen Litvanya hükümet yetkilileri, bakanlık temsilcileri ve epidemiyolojik teşhis uzmanlarının tümü, virüslü sistemlerden Emotet ile enfekte e-postalar aldı. NVSC e-posta sistemleri, virüsün daha fazla yayılmasını durdurmak için Salı günü geçici olarak kapatıldı.
NVSC bilgi teknolojisi uzmanları, Central State Telekomünikasyon Merkezi ve Ulusal Siber Güvenlik Merkezi uzmanları ile birlikte şu anda Emotet bulaşmasından etkilenen sistemleri temizlemenin yanı sıra NVSC e-postalarını kurtarma ve e-posta erişimini geri yükleme üzerinde çalışıyor.
Önceki konuşmalara yanıt olarak gönderilen e-postalar
Litvanya Ulusal Siber Güvenlik Merkezi (NKSC) Direktörü Rytis Rainys, önceki konuşmalara yanıt olarak gönderilen Emotet e-postalarının, e-posta gövdesinde paylaşılan parola ile ek olarak parola korumalı arşivleri kullanarak kötü amaçlı kod dağıttığı konusunda uyardı.
Bu, kötü amaçlı yazılımdan koruma çözümlerinin kötü amaçlı e-postaları tespit etmesini engelledi ve bu da hedeflenen kişilerin eki açıp kendilerine bulaşmasını mümkün kıldı.
Yanıt zinciri e-postalarını çalmak, gelecekteki spam kampanyalarında daha yüksek güvenilirlik ve daha iyi bulaşma oranları için mevcut konuşmaların bir parçası olarak kötü amaçlı e-postaları kamufle etmek için kullanılan bilinen bir Emotet taktiği.
Taktik aynı zamanda Qbot truva atı tarafından da kullanılıyor ve daha önce Gozi ISFB bankacılık truva atı ve URSNIF bilgi çalma truva atı tarafından kullanılıyordu.
Bu, bu yıl Litvanya’yı hedefleyen ikinci büyük Emotet kampanyasıdır ve bir öncekinin NKSC tarafından Ekim ayında tespit edilmesi.
NKSC, o sırada, Sender Policy Framework (SPF) e-posta kimlik doğrulamasını etkinleştirmek ve uygun şekilde yapılandırmak için potansiyel hedefleri (eyalet kurumları ve şirketleri dahil ancak bunlarla sınırlı olmamak üzere) öneren bir tavsiye yayınladı.
Microsoft Security Intelligence, “Yeni Emotet kampanyası, etkinleştirildiğinde, Emotet yükünü indirmek için yedi kötü amaçlı etki alanına bağlanan kötü amaçlı makro içeren belgeleri kullanmaya devam ediyor,” dedi.
Emotet ilk olarak 2014 yılında bir bankacılık Truva Atı olarak görüldü ve şimdi TA542 tehdit grubu (diğer adıyla Mummy Spider ) tarafından virüslü sistemlere ikinci aşama kötü amaçlı yazılım yüklerini dağıtmak için kullanılan bir botnet haline geldi.
Emotet’in güvenliği ihlal edilmiş bilgisayarlara bıraktığı yükler arasında QakBot ve Trickbot (ayrıca hem Ryuk hem de Conti fidye yazılımını dağıtır) truva atları bulunur.
Bir ara vermeden önce Emotet, Ekim ayında DHS-CISA tarafından yayınlanan bir danışma belgesine göre, potansiyel olarak hedeflenen kampanyalarda çok sayıda ABD eyaletini ve yerel yönetimini hedef aldı.
Bir başka haber: Kawasaki güvenlik ihlalini ve olası veri sızıntısını açıkladı
