Новая волна Emotet

Новая волна Emotet

В национальном сегменте сети Интернет выявлена очередная серия фишинговых рассылок с вложениями, содержащими вредоносное программное обеспечение типа троян семейства Emotet. Ранее мы уже писали о его распространении: Атака банкеров, Атака банкеров. Часть 2 и Вторая волна Emotet.

Наблюдение за поведением трояна Emotet позволяет предположить, что злоумышленники продолжают совершенствовать свое вредоносное ПО.

Напомним, что отличительной особенностью трояна Emotet является рассылка фишинговых писем, содержащих ссылки на вредоносные файлы либо вредоносные вложения. Обычно вложением является офисный документ либо запароленный архив, содержащий такой документ. Пароль от архива всегда содержится в рассылаемом письме.

Открытие скачанного по ссылке файла или вредоносного вложения чаще всего приводит к заражению компьютера и попаданию в ботнет под контроль злоумышленников.

Рекомендации для снижения вероятности заражения компьютера:

  • В частности, ко всем ссылкам и вложениям, содержащимся в письмах, даже от знакомого вам отправителя, всегда необходимо относится максимально бдительно и, в случае возникновения малейшего подозрения, перед тем как открывать ссылку или файл, лучше передать/сообщить специалисту по информационной безопасности или системному администратору вашей организации для проверки. Также, если это не запрещено локальной политикой безопасности, можно проверить самому на ресурсе https://www.virustotal.com.
  • В общем, необходимо постоянно соблюдать правила «цифровой гигиены». Если Вы до сих пор с ними не знакомы, то следует обязательно изучить!

Ниже перечислены выявленные CERT.BY признаки распространения и заражения трояном Emotet.

Адреса-отправители:

bhz.adm@cascadura.com.br
marcio@kazagaz.com.br
contact@avocat-zohar.com
gmpagaja@ptcmw.com
dumac@dumac.com.br
segtrabalho@guatos.com.br
snd2@hospitalcasadesaude.com.br
gustavo@rpaconstrutora.com.br
vendas1@sealway.com.br
jamily.neves@nobregapimenta.com.br
maki@benoist.uf.shopserve.jp
diretoria@cmicentromedico.com.br
jamily.neves@nobregapimenta.com.br
contabilidade5@edisaconsultoria.com.br
clovis@cay.com.br
asad.spal@swisstexgroup.com.bd
paulo.paes@foccusimobiliaria.com.br
customerservice@gpshippingltd.com
dulce@not169df.com
price@brasilatacadista.com.br
hse@ore-peinture.fr
hse@ore-peinture.fr
hr@phoenixmanu.com
opsydanap@sch.gr
asad.spal@swisstexgroup.com.bd
recepcion@medicauniversidad.mx
shayane@factoturismo.tur.br
comercial@altumenergy.com.br
order@milestonesa.ch
processosba@nichibras.com.br
logistica.ipsc@hospitalariasec.org
jyoti.bpkihs@subisu.net.np
a.fratalocchi@bieffeconsulting.com
price.central@brasilatacadista.com.br
gerencia@vendasrepresentacoes.com.br
bhz.adm@cascadura.com.br
suellen.sousa@cne.srv.br

Пример ссылки, содержащиеся в рассылаемых электронных письмах:

http[:]//hotelshivansh[.]com/UserFiles/LLC/oyjxXKWEATGRl6EX/

MD5-хеши рассылаемых и докачиваемых файлов:

92f4ad2d69c505e75ccb0108cef3657c
28179a27a0075fbd157d7f3e6781c6e1
8e8c9890ab3c1e4c3dd6c1f0b7fec3a4
c32d7949986c5aa888f82413571683af
9a3c3c9ed3dc10cd424e24652560b80f
6fed6dd05667b66bc9c8b8c82b3a871d
c961f8ec52d764515c761f6ec5697881
555ed763903cc29c4d02a52bcfa28e2b
c64fcf9ccc26fe372f089591b5eb71ce

Исследованием Emotet и борьбой с ним по всему миру занимается огромное количество специалистов информационной безопасности. Образовалась даже группа энтузиастов под названием Cryptolaemus, которая постоянно следит за Emotet и предоставляет актуальную информацию на своем сайте. Здесь специалисты по информационной безопасности и системные администраторы могут дополнительно получать актуальную информацию, для организации защиты своих инфраструктур.