Analiză ESET: Un exemplu de atac Emotet și sfaturi în cazul în care survin breșe de date


Atacul cibernetic, care a afectat 14 cutii poștale aparținând Departamentului de Justiție, a fost confirmat de cercetătorii ESET.

Echipa de cercetători ESET din Montreal, în colaborare cu jurnalistul Hugo Joncas, a făcut lumină asupra unui atac cibernetic care a afectat Departamentul de Justiție din Quebec.

În 11 și 12 august 2020, Departamentul de Justiție din Quebec (Canada) a fost victima unui atac cibernetic care a avut la bază un software malițios ce a compromis 14 căsuțe de e-mail aflate sub jurisdicția Departamentului. Atacatorii au putut astfel accesa toate e-mailurile găsite în aceste cutii poștale. Alexis Dorais-Joncas, Directorul Biroului de Cercetare și Dezvoltare ESET din Montreal, a raportat că hackerii au folosit o versiune a malware-ului Emotet, ale cărui campanii rău intenționate se desfășoară deja de câțiva ani.

În cazul acestui ultim atac, hackerii au folosit informațiile furate pentru a răspândi mai departe malware-ul creat de ei într-un mod deosebit de insidios. Aceștia au trimis mesaje, în aparență legitime, tuturor celor care au contactat de-a lungul timpului cutiile poștale compromise și au inclus și în cazul acestora atașamente rău intenționate.

Pe lângă datele cetățenilor care au contactat departamentul, sindicatul SPGQ (Syndicat de professionnelles et professionnels du gouvernement du Québec) subliniază că „hackerii ar fi sustras datele personale a aproximativ 300 de angajați activi și inactivi (pensionați sau care lucrează acum în altă parte).”

„Datele telemetrice ESET indică că pragul cel mai înalt de detecții Emotet în Canada a avut loc în luna august.”  

Acest prag corespunde perioadei în care a fost vizat Departamentul de Justiție. Având în vedere modul de operare al campaniilor Emotet, este probabil ca și alte companii și organizații să fi fost vizate. 

O  strategie în caz de incidente de securitate, un atu pentru  orice organizație 

Acesta este un moment bun pentru a dezvolta sau revizui strategia organizației dvs. în cazul unui incident de securitate. La fel ca planul în caz de incendiu, strategia dvs. pentru eventuale incidente de securitate va asigura un răspuns mai eficient și coordonat dacă vreodată va fi cazul. Și spre deosebire de planul de evacuare în caz de incendiu, un plan menit să răspundă unui atac cibernetic are șanse mai mari să fie pus și în practică. 

Este posibil să vă gândiți că organizația dvs. n-ar avea de ce să fie ținta unor infractori cibernetici, însă în realitate nimeni nu este o excepție. Dacă dețineți date electronice, acestea au valoare în ochii infractorilor cibernetici, indiferent de mărimea organizației dvs., industrie sau venituri. 

Potrivit Dorais-Joncas: „Incidentul de la Departamentul de Justiție este un memento pentru toate organizațiile care operează cu date cu caracter personal. O scurgere de date nu este întotdeauna rezultatul unui atac direcționat și sofisticat. Într-adevăr, simpla acțiune de a deschide un atașament malițios poate duce la furtul întregului conținut regăsit în căsuța de e-mail. O organizație bine pregătită poate preveni eficient o breșă de date, poate identifica amploarea daunelor și poate intra rapid în modul de notificare pentru a avertiza persoanele ale căror date personale au fost compromise.”

Un articol util, pe această temă: Now is the best time to craft your breach response 

Strategia dvs. în cazul unei breșe de date ar trebui să conțină mai multe elemente importante. Iată câteva elemente cheie: 

  • Primul pas al planului dvs. de acțiune ar trebui să fie evaluarea amplorii atacului. Nu vă bazați doar pe intuiție - sau, mai rău, pe opinii subiective. Nu există niciun substitut pentru o analiză atentă a problemei. Aspectele ce trebuie verificate se referă la:   

  1. Ce sisteme informatice au fost afectate și în ce fel?  
  2. Au fost furate date? Ce tipuri de date? Sunt afectați clienții, personalul, partenerii?   
  3. Incidentul este limitat doar la anumite dispozitive sau afectează și subrețelele?   
  4. Stabiliți ce echipe cheie și indivizi din cadrul organizației vor fi implicați în această analiză.  

  • După acest pas, va fi necesar să gândiți planificarea în vederea continuității afacerii. Aici devine esențială comunicarea transparentă. Nu este niciodată ușor să comunici cu clienții și angajații pentru a-i notifica cu privire la o scurgere sau breșă de date care le amenință confidențialitatea și securitatea. Crearea unui șablon de răspuns acum vă poate ajuta în viitor să vă concentrați eforturile echipei pe furnizarea de informații corecte, în timp util. Planul dvs. ar trebui să includă contactarea în mod regulat a potențialelor victime pentru a le ține la curent cu situația, mai degrabă decât să așteptați până la finalizarea investigațiilor.   
  • Dacă atacul cibernetic este încă în desfășurare, va trebui să elaborați un plan de urgență pentru sistemele infectate. Se începe cu izolarea materialului despre care știți că a fost compromis, urmând primul pas al strategiei dvs. Izolați subrețele, dispozitivele și sistemele care au fost afectate de incidentul cibernetic pentru a preveni răspândirea problemei în întreaga organizație. Veți putea apoi să combateți efectiv atacul și în mod obligatoriu să eliminați vulnerabilitatea, care a făcut ca atacul cibernetic să fie posibil. Includeți, de asemenea, măsuri de actualizare a parolelor sau a oricăror credențiale de acces pe care ar putea să le folosească hackerii în scopuri malițioase. 
  • După o breșă de date, companiile le oferă adesea clienților măsuri de securitate îmbunătățite pentru a ajuta la atenuarea oricăror daune. Planificați măsurile pe care organizația dvs. le poate lua, înainte și după, pentru a proteja securitatea și confidențialitatea clienților în cazul unui atac.
  • Testați planul în mod regulat și pregătiți analiza și feedback-ul de răspuns. De exemplu, în cazul campaniilor Emotet, acest lucru implică de obicei angajați care deschid un mesaj cu conținut rău intenționat. Odată ce malware-ul a fost complet eliminat din sistemele organizației, o instruire atentă a întregului personal poate preveni compromiteri suplimentare. 

Ce se întâmplă dacă datele mele personale au fost compromise într-o breșă?    

Este normal să ne punem întrebarea dacă datele noastre au ajuns vreodată în mâinile unor persoane rău intenționate. Cu toate acestea, utilizatorii care au contactat Departamentul  prin e-mail nu trebuie să aștepte să primească notificări și sfaturi din partea Departamentului, în caz că vor exista, desigur. Adoptarea unor măsuri simple de securitate și o atenție sporită la potențiale pericole sunt deseori cea mai bună soluție. 

Alexis Dorais-Joncas explică: „Dacă ați făcut schimb de e-mailuri în trecut cu o entitate a cărei infrastructură aflați că a fost compromisă trebuie să fiți și mai prudenți decât de obicei. Dacă primiți un e-mail care pare a fi de la aceștia și conține un atașament, nu îl deschideți. În schimb, contactați entitatea prin telefon pentru a confirma dacă e-mailul este legitim sau nu.”

Un alt articol pe aceeași temă: Would you get hooked by a phishing scam? Test yourself

Dacă sunteți îngrijorat că informațiile dvs. personale ar fi putut fi compromise ca parte a unei campanii Emotet sau ca urmare a unui alt incident de securitate, iată câteva sfaturi simple. 

  • Campaniile spam, cum ar fi cele Emotet, sunt transmise prin atașamente rău intenționate. Nu deschideți niciodată un atașament sau un hyperlink dintr-o sursă pe care nu o cunoașteți. Chiar dacă mesajul pare urgent sau legitim, acordați atenție detaliilor precum adresa sursei, greșelile din subiectul și textul e-mailului sau cerința imperioasă a unei acțiuni rapide.  
  • Consultați platforma Have i been pwned. Acest serviciu le permite utilizatorilor să verifice dacă vreo adresă de e-mail care le aparține a fost compromisă și dacă se află pe vreo listă de e-mailuri și parole disponibilă online. Această bază de date este actualizată în mod regulat și include e-mailuri și parole care au fost furate recent. Există posibilitatea să nu vă regăsiți adrese sau parole pe aceste liste, dar asta nu înseamnă că  datele dvs. nu au fost afectate (Ar putea să apară pe o listă care nu  este înregistrată de site).       
  • Dacă tot vorbim de parole, asigurați-vă că utilizați parole sigure și unice - sau fraze de acces - pentru fiecare cont în parte. De asemenea, modificați toate parolele care au fost compromise în trecut. Dacă sunteți îngrijorat de faptul că este posibil să fi deschis un atașament rău intenționat, modificați parola asociată cu adresa dvs. de e-mail. 
  • Acordați atenție oricărei situații suspecte din toate conturile dvs.

Gabrielle Ladouceur Despins November 3, 2020

Lasa un comentariu