Najpierw Francja, teraz Japonia i Nowa Zelandia. Seria cyberataków trwa

10 września 2020, 12:05
ezgif. - hacker sitting - com-webp-to-jpg
Fot. Pxhere/CC0

Francja, Japonia i Nowa Zelandia ostrzegają przed światową kampanią hakerską, wymierzoną w podmioty prywatne oraz państwowe. W ramach operacji cyberprzestępcy wykorzystują złośliwe oprogramowanie Emotet do kradzieży wrażliwych danych i prowadzenia szeroko zakrojonych kampanii spamowych. Ofiarami hakerów padli między innymi prawnicy pracujący w jednym z sądów w Paryżu.

Agencje cyberbezpieczeństwa z Francji, Japonii i Nowej Zelandii wydały specjalne alerty, ostrzegające przed wzrostem liczby cyberataków, wykorzystujących złośliwe oprogramowanie Emotet.

Francuska National Cybersecurity Agency (fra. Agence nationale de la sécurité des systèmes d'information, ANSSI) zaobserwowała cyberataki wymierzone w krajowe firmy oraz sektor państwowy, których kluczowym elementem jest wirus Emotet. „Emotet jest obecnie używany do deponowania innego złośliwego kodu, który może mieć silny wpływ na ofiary” – czytamy w alercie opublikowanym przez CERT-FR.

Początkowo Emotet był uznawany za trojana bankowego, jednak z biegiem czasu wirus ewoluował. Obecnie złośliwe oprogramowanie pozwala między innymi na przejęcie haseł przechowywanych w systemach ofiar, w tym przeglądarkach internetowych oraz poczty, a także kradzież danych pochodzących z e-maili (np. plików z załącznikach czy listy kontaktów). Emotet łatwo rozprzestrzenia się w docelowej sieci, wykorzystując luki w zabezpieczeniach oraz pozyskane hasła dostępu.

Francuski CERT wskazuje, że złośliwe oprogramowanie jest rozsyłane za pomocą masowych kampanii e-maili phishingowych. „Te wiadomości phishingowe zazwyczaj zawierają złośliwe załączniki Word lub PDF” – stwierdzono w alercie. Analiza przeprowadzona przez specjalistów ANSSI wykazała, że po pięciomiesięcznym okresie „wygaszenia” kampanie z użyciem Emotet ponownie pojawiły się w lipcu bieżącego roku.

„Po włamaniu do skrzynki odbiorczej pracownika podmiotu będącego ofiarą (lub ogólnej skrzynki odbiorczej podmiotu) złośliwy kod Emotet wydobywa zawartość niektórych wiadomości e-mail” – tłumaczą francuscy specjaliści. Na tej podstawie hakerzy generują wiadomości phishingowe w postaci odpowiedzi w ramach wewnętrznej komunikacji w danej placówce. „Tytuł wiadomości poprzedza słowo >Re:<, a sam e-mail zawiera historię całej korespondencji oraz przesyłanych plików” – czytamy w alercie.

Złośliwe wiadomości są rozsyłane do kontaktów ofiary, w szczególności osób, które brały udział w określonej korespondencji. Ma to na celu zwiększenie wiarygodności przesyłanych treści i skłonienie odbiorców do dalszej interakcji.

Z kolei japoński CERT (JPCERT) wykrył wzrost liczby operacji hakerskich z udziałem Emotet dopiero od września bieżącego roku. Analiza przeprowadzona przez specjalistów pokrywa się z wynikami otrzymanymi przez francuską ANSSI. „Główna droga infekcji Emotet jest nadal taka sama, czyli poprzez załączniki lub wiadomości e-mail z linkami w treści” – czytamy w alercie wydanym przez JPCERT.

Japońscy specjaliści scharakteryzowali złośliwe oprogramowanie jako wirusa, który nie tylko kradnie informacje, ale także rozsyła wiadomości spamowe, wykorzystując pozyskane z systemu ofiary dane w celu rozprzestrzeniania infekcji.

„Po infekcji wirus umożliwia pobranie innego złośliwego oprogramowania, takiego jak TrickBot i Qbot (Qakbot), co może spowodować poważny incydent, w tym zaszyfrowanie danych przy pomocy ransomware” – wskazują specjaliści japońskiego CERT-u.

O kampanii z udziałem Emotet zaalarmował również nowozelandzki CERT. W ostrzeżeniu wskazano, że hakerzy przywiązują dużą staranność do ukrycia swojej operacji. „CERT NZ jest świadomy zagrożenia związanego ze zwiększoną aktywnością Emotet, wpływającą na nowozelandzkie organizacje” – czytamy na oficjalnej stronie CERT-u. Specjaliści nie mają wątpliwości, że celem cyberataków mogą być zarówno osoby fizyczne, jak i firmy.

Serią cyberataków z udziałem wirusa Emotet zainteresował się również Joseph Roosen, specjalista ds. cyberbezpieczeństwa firmy Cryptolaemus.

W wywiadzie dla serwisu ZDNet specjalista wskazał, że w czasie trwania kampanii wymierzonej w Nową Zelandię, równocześnie można było zaobserwować cyberataki ukierunkowane w japońskie podmioty. Przeniesienie działań hakerskich do tych państw sprawiło, że we Francji spadła liczba incydentów z udziałem Emotet.

Cyberprzestępcom udało się jednak skutecznie naruszyć sieci i systemy jednego z paryskich sądów. Wśród ofiar cyberataku znajdowali się nie tylko sędziowie, ale także francuscy prawnicy – poinformował francuski tygodnik Le Journal du Dimanche.

Rémy Heitz, jeden z poszkodowanych prokuratorów, wszczął śledztwo w celu ustalenia sprawców incydentu. Jego przeprowadzenie zostało powierzone Dyrekcji Bezpieczeństwa Wewnętrznego (DGSI) ze względu na „delikatny charakter sprawy”.

KomentarzeLiczba komentarzy: 4
Tfdhit
niedziela, 13 września 2020, 12:59

Czy luki w MS Word i przeglądarkach pdf zostały już załatane? To ciekawe że dzisiejsze oprogramowanie jest źródłem niekończących się luk. Napisać który ma 400 luk to chyba jakieś nagrody powinni rozdawać za to. Oskary w dziedzinie programowania. Oczywiście z parytetami co najmniej 2 luki dla tych i 3 dla tamtych ;)

jaki problem ?
piątek, 11 września 2020, 23:24

..zlikwidowac servery w netanya ..wszystkie cuberataki NASDAQ sie skończa.. Problem ? Jeden bsl wystarczy...

mobilny
piątek, 11 września 2020, 19:04

....niech zgadne....Chiny Rosja Korea z Północy a jakże by inaczej. Znamy tę śpiewkę .....

Nnkt
sobota, 12 września 2020, 13:35

To zmieńmy śpiewkę... To może sprawka Kanady, Szwajcarii i Maroka?

Tweets CyberDefence24