Эксперты по информационной безопасности объявили об активизации Emotet - одного из самых опасных ботнетов в мире. По статистике «Лаборатории Касперского», число атакованных пользователей выросло с 2,8 тыс. в феврале 2022 до 9,1 тыс., в марте, а число попыток атак — с 16,9 тыс. в феврале до 48,6 тыс. в марте, то есть более чем в три раза. В России количество атакованных пользователей за этот период увеличилось более, чем на 60%.
Emotet - это одновременно и контролируемая сеть заражённых устройств, используемых для атак на другие устройства, и вредоносное ПО, способное извлекать с заражённых устройств разные виды данных, в том числе финансовых. Деятельность Emotet была остановлена благодаря совместным усилиям правоохранительных органов из разных стран в начале 2021 года, но уже в конце прошлого года ботнет возродился.
Сейчас, во время нового всплеска активности Emotet, число атак пока несравнимо меньше с прошлым масштабом. Но очевидно, что операторы ботнета активизировались, и высока вероятность того, что угроза будет широко распространяться и впредь.
Наиболее часто Emotet заражает устройства через спам-письма с вложенным вредоносным макросом Microsoft Office. Этот макрос позволяет запускать вредоносную команду PowerShell и затем загрузчик, который устанавливает сообщение с командно-контрольным сервером и вводит в действие следующие вредоносные модули. Они могут выполнять множество разных действий на заражённом устройстве.
Текущая версия Emotet может создавать автоматизированные спам-рассылки, которые в дальнейшем распространяются по сети через заражённые устройства, собирают почтовые адреса и сами письма из приложений Thunderbird и Outlook, а также пароли из популярных браузеров.
Чтобы защититься от Emotet и других подобных ботнетов, эксперты советуют компаниям принять следующие меры:
- следить за новостями об Emotet, отслеживать его развитие;
- поскольку основной источник заражения — спам, при защите особое внимание следует уделить именно входящей корреспонденции: не открывать документы и архивы, не переходить по ссылкам из писем, полученных от неизвестных адресатов. Даже если отправитель доверенный, лучше сначала сохранить присланный документ на диск и просканировать антивирусом, и лишь затем открывать его;
- использовать двухфакторную аутентификацию для проведения банковских операций в интернете;
- установить эффективное защитное решение и настроить его так, чтобы оно постоянно сканировало устройство на предмет уязвимостей. Это поможет наилучшим образом защитить устройство от самых новых вирусов и шпионских программ;
- регулярно обновлять все используемые программы, включая операционную систему и приложения, поскольку атакующие специально ищут бреши в ПО, чтобы использовать их для проникновения в корпоративную сеть;
- повышать цифровую грамотность сотрудников с помощью специализированных тренингов, чтобы научить их не переходить по сомнительным ссылкам и не открывать вложения, полученные из недоверенных источников. Завершайте обучение симулированной фишинговой атакой, чтобы убедиться, что сотрудники научились распознавать фишинговые письма.