09/10/20
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) предупредило об увеличении числа атак, нацеленных на государственные и местные органы власти с помощью трояна Emotet.
Как сообщили CISA и Межгосударственный центр обмена информацией и анализа (MS-ISAC), с августа нынешнего года киберпреступники стали чаще атаковать правительства штатов и местные органы власти с помощью фишинговых писем, предназначенных для распространения вредоносного ПО Emotet.
«С Emotet трудно бороться из-за его «червеобразных» функций, которые позволяют заражать всю сеть. Кроме того, Emotet использует модульные библиотеки динамических ссылок для постоянного развития и обновления своего функционала», — говорится в предупреждении.
По данным CISA, с июля было зарегистрировано около 16 тыс. уведомлений, связанных с Emotet. В качестве исходного вектора атаки использовались вредоносные документы Word, прикрепленные к фишинговым письмам.
Агентство также зафиксировало связанный с Emotet трафик через порты 80, 8080 и 443, а также один случай, когда IP-адрес пытался подключиться через порт 445, что указывает на возможное использование Server Message Block (SMB).
В феврале и июле операторы Emotet использовали фишинговые письма на тему COVID-19 для осуществления атак на пользователей в США и за рубежом. В августе операторы вредоносного ПО изменили тактику, повысив количество атак в США. В сентябре количество атак Emotet резко возросло во всем мире: в некоторых случаях вредоносная программа использовала Trickbot для доставки программ-вымогателей или Qakbot для кражи банковских учетных данных и другой информации у жертв.
Операторы Emotet также переключились на использование защищенных паролем архивов в качестве вложений с целью обойти шлюзы безопасности электронной почты, и исследователи безопасности заметили, что хакеры использовали перехват контроля над потоками для доставки Emotet.
