داغی بیش از حد سیستم ها و از کار افتادن شبکه با آلودگی جدید

آلودگی و بد افزار جدید emotet باعث داغ شدن بیش از حد سیستم های یک سازمان و خاموشی آنان شده است

مایکروسافت میگوید که یک آلودگی مربوط به Emotet توانسته است که تمامی سیستم های یک شبکه را با بالا بردن فعالیت پردازشگر های آنان از کار بیاندازد و دسترسی اینترنت را به حداقل برساند. این اتفاق درست پس از زمانی که یکی از کاربران یک فایل ضمیمه شده ی آلوده را از طریق ایمیل باز کرد، بوجود آمد.

" پس از اینکه یک ایمیل فیشینگ و کلاهبرداری این آلودگی به اصطلاح چند ظاهر را از طریق شبکه و پروتکل های قدیمی و به روز رسانی نشده پخش میکند، ویروس سرویس های اصلی و مرکزی سازمان را هدف قرار میدهد و آنان را از کار می اندازد. "

ویروس از شناسایی آنتی ویروس ها نیز قسر در میرود و این کار از طریق به روز رسانی های مداومی میباشد که از طریق یک مهاجم و با استفاده از یک سرور C2 که آن را کنترل میکند اتفاق می افتد و بین سیستم های مجموعه پخش میشود که نتیجه ی آن از کار افتادن شبکه و متوقف شدن سرویس های حیاتی و ضروری به مدت حداقل یک هفته میشود.

تمامی سیستم ها کمتر از یک هفته از کار می افتند

پیش از این داستان ها، مهاجمین از اطلاعات کاربری سرقت شده برای ارسال ایمیل های فیشینگ به دیگر کارکنان شرکت خاطی در کنار دیگر مخاطبین خار از این شرکت نیز استفاده کردند. این اتفاق منجر به آلودگی سیستم های بیشتری میشد و روز به روز به تعداد آن افزوده میشد.

این بد افزار پیشتر از طریق شبکه منتشر میشد بدون اینکه هیچگونه اخطار یا ردی به دلیل سرقت حساب های کاربری از خود به جای بگذارد. همچنین با استفاده از این اطلاعات کاربری اقدام به نفوذ به دیگر سیستم ها و آلوده کردن آنان میکند.

طی 8 روز پس از باز کردن فایل ضمیمه شده از طریق ایمیل فیشینگ، شبکه ی کل سازمان علیرغم تلاش های دپارتمان آی تی به زانو درآمد. با سیستم هایی که بیش از حد داغ میشوند، هنگ میکنند و به دلیل صفحه ی آبی مدام ریبوت میشوند و همچنین اتصال های اینترنتی که به خاطر این آلودگی تمامی پهنای باندشان مشغول شده است.

Emotet attack flow

طبق گفته ی کارشناسان ای تی، این سازمان لایه های دفاعی بسیاری را دارد، اما این ویروس جدید از تمامی فایروال ها و آنتی ویروس ها رد شده است.

مسئولین اعلام کرده بودند که در حال حاضر مبلغی نزدیک به یک میلیون دلار پرداخت کرده بودند تا سیستم هایشان را پاکسازی کنند.

کارشناسان امنیتی گفتند که این ویروس تمامی سیستم ها را دچار آلودگی کرده است و حتی دوربین های نظاری 185 شبکه نیز در امان نبوند. طبق گفته ها بخش مالی حتی قادر به تکمیل تراکنش های بانکی نیز نبودند و سازمان های همکار نیز دسترسی به هیچکدام از دیتابیس ها نداشتند.

تشخیص این مسئله سخت بود که آیا یک حمله ی سایبری از خارج مجموعه باعث این خاموشی شده است یا اینکه با یک ویروس داخلی سرکار دارند.

این آلودگی به قدری پهنای باند شبکه را درگیر کرده است که حتی دسترسی به ایمیل ها و ارسال و دریافت آنان غیرممکن بوده است.

در نهایت کارشناسان امنیتی توانستند این آلودگی را پس از آپلود ضد ویروسی منحصر به فرد و راه اندازی سیستم ATP  مایکروسافت و Azure جهت شناسایی آلودگی پاکسازی کنند.

مایکروسافت توصیه میکند که از ابزار های فیلتر ایمیل برای شناسایی خودکار و توقف ایمیل های کلاهبرداری استفاده کنند که باعث پخش شدن آلودگی Emotet میشوند، انجام دهند.

Emotet infection chain

این آلودگی در اصل در سال 2014 به عنوان یک تروجان بانکی شناسایی شد و به عنوان یک ابزار بارگذاری دیگر آلودگی ها کاربرد داشت.

اخیرا این بد افزار به یک افزونه ی وای فای نیز ارتقا یافته است تا بتواند قربانیان بیشتری را از طریق شبکه های وای فای غیر امن به دام بی اندازد.

بد افزار Emotet به عنوان 10 تهدید خطرناک در پایان دسامبر 2019 رده بندی شده است.

منبع: https://www.bleepingcomputer.com