Вирус Emotet: что это и как с ним бороться?

вирус Emotet банковский троян

Банковский троян Emotet поразил Heise

Произошло серьезное вторжение в сеть Heise, спровоцированное вирусом Emotet. На данный момент IT-департаменты компании Heise Gruppe и ряд привлеченных специалистов работают над анализом, устранением и организованной реконструкцией инфраструктуры Heise.

Троянской атаке были и все еще являются подверженными Heise Gruppe и издательство Heinz Heise (материнская и сестринская компании Heise Medien), которые, помимо прочего, издают компьютерный журнал c’t. Согласно последним расследованиям, на сеть Heise Medien не было никаких посягательств.

В понедельник 13 мая, около 3 часов дня, один из сотрудников открыл email, в котором шла речь о текущем бизнес-процессе. Вероятно, письмо было отправлено одним из партнеров и призывало проверить, а также при необходимости откорректировать данные в прикрепленном документе Word. При открытии этого документа появилось фейковое сообщение об ошибке с указанием кликнуть на кнопку «Enable Editing». Выполнив «инструкцию», сотрудник выпустил джинна из бутылки.

вирус Emotet банковский троян

Вирус Emotet инфицировал систему Windows на компьютере работника и незамедлительно начал вершить свои темные дела в сети Heise. Это сразу же проявилось в виде нескольких небольших вспышек инфекций, которые вызвали реакцию антивирусного программного обеспечения (Avira и Windows Defender). Привлеченные администраторы поверхностно очистили системы, будучи убежденными в том, что этого достаточно для решения проблемы.

Это мнение изменилось в среду вечером, когда в файлах защитной системы были поочередно замечены соединения с известными серверами Emotet. Быстрая проверка показала, что уже целый ряд компьютеров подключились к внешним сетям через странные соединения вроде порта TCP-449. Это была красная тревога.

Вдобавок ко всему, один из администраторов обнаружил, что к этому времени уже были очень подозрительные попытки получить доступ к контроллеру домена Active Directory, службы каталогов, которая, помимо прочего, управляет правами доступа в сетях Windows. В первую очередь администраторы попытались прервать соединение с главным сервером Emotet. Но это оказалось гонкой Черепахи и Зайца, которую было никак не выиграть. Новые соединения с Emotet устанавливались беспрерывно. В конце концов администраторы решились на полную блокировку системы. К этому времени интернет-соединение со всеми пораженными сетями было полностью отключено.

Вместе с этим, в отделе IT решили, что им потребуется помощь извне. Начиная с четверга, несколько судебных экспертов и специалистов по реагированию на компьютерные инциденты совместно с IT-специалистами Heise разбирались в ситуации и возобновляли нормальную работу отдела IT, не допуская при этом новую вспышку вирусного заражения сети. Из-за всего случившегося система безопасности была поставлена на проверку и сейчас разрабатываются идеи о том, как можно избежать таких ситуаций в дальнейшем.

Emotet в сети

Вся эта вирусная история все еще идет полным ходом и не прекратится ближайшие несколько недель. Открытых вопросов все еще больше, нежели четких ответов. Но несмотря на это, мы решились задокументировать нынешнее положение дел, поскольку хотим ликвидировать этот инцидент как можно более прозрачно. И, что немаловажно, мы хотим дать другим компаниям возможность учиться на наших ошибках.

Сначала о деятельности Emotet: очевидно, после первоначального инфицирования вирус загрузил новые модули, один из которых называется Trickbot. Они, в свою очередь, незамедлительно инфицировали все компьютеры с установленным Windows-10, пользователи которых имели локальные права администратора. На самом деле, это запрещено правилами пользования. Но были некоторые исключения, например, недавно приобретенные компьютеры для обучения внутри компании, программное обеспечение которых требовало локальных прав администратора. Затем Emotet, а точнее, загруженные им вирусные программы, поразили все активные в сети системы Windows-7; компьютеры с установленным Windows-10 без локальных прав админа, по всей видимости, уцелели. Причина этого до сих пор неизвестна.

По меньшей мере одна часть этих инфекций произошла через учетные данные одного из доменных администраторов. Через них Emotet установил новый сервис на нужном ему компьютере. Как именно он получил доступ к учетным данным, пока до конца не ясно. Хотя в реестре было задокументировано слишком много неудавшихся попыток входа методом подбора пароля. Учитывая, на что способен Emotet, все более вероятным кажется предположение о том, что троян получил учетные данные администратора домена из оперативной памяти какой-то зараженной системы. Также не стоит исключать возможность того, что кто-то из сотрудников компании вошел в пораженную вирусом систему на правах администратора, чтобы ее почистить. Это была бы фатальная ошибка, которую нужно избегать, во что бы то ни стало.

Чего только не произошло

Сейчас все понемногу возвращается на круги своя после случившегося. Особенно потому, что, по всей видимости, в этот раз печальная участь нас миновала. После первой фазы распространения Emotet часто устанавливает трояны-шифровальщики; в связи с этим в сетях компаний был неоднократно найден всем известный вирус Ryuk. При этом хакеры не полагаются только лишь на автоматизированные способности своих программ, а самостоятельно заходят в сеть через протокол удаленного рабочего стола, чтобы локализовать резервные копии и центральные компоненты IT-инфраструктуры. Но поиск на предмет этого пока не продемонстрировал никаких признаков наличия троянов-шифровальщиков и осуществляемого вручную взаимодействия с пораженными системами. Кажется, отключение системы помогло – по крайнем мере на некоторое время.




Ремонтные работы

Все пораженные вирусом компьютеры были выведены из эксплуатации. Также уцелевшие компьютеры с Windows-10 больше не подключались ни к другим сетям, ни к Интернету. Пока так будет и в дальнейшем. Поскольку документировать всю деятельность Emotet оказалось бесполезным и мы не хотим снова быть подверженными риску новой атаки из-за недосмотренных лазеек, поврежденные компоненты системы либо не будут использоваться, либо будут заменены на новые.

Админы решили установить абсолютно новую сеть с новыми компьютерами и новой службой каталогов. Вместе с этим предпринимаются новые, более строгие меры безопасности, которые предотвратят, а точнее сделают маловероятной подобную хакерскую атаку в будущем. Сейчас существующие данные, программы и т. д. с большой осторожностью переносятся в новую сеть. Хотя работоспособность компании в целом восстановлена, наверняка потребуется еще несколько недель на то, чтобы окончательно переместить все файлы.

Пока мы так и не выяснили, какие данные попали в руки хакеров. В любом случае, об этом инциденте сообщили в соответствующий орган, как и полагается по Общему регламенту о защите персональных данных. Более того, полиция также была уведомлена о случившемся. Бизнес-партнеры были оповещены о повышенном риске email-ов с троянами.

Инфраструктура Heise Medien и в особенности редакций журнала c’t и новостного сайта heise online более независима от отдела IT Heise Gruppe. Никаких признаков манипуляций трояна нет. Особенно важно то, что утечки данных подписчиков и бизнес-партнеров Heise Medien зафиксировано не было.

Детали этого инцидента еще надолго останутся загадкой. Но мы будем руководить ситуацией как можно более прозрачно и публиковать новые статьи на эту тему. Сейчас основная тема – это как защититься от Emotet. Самое главное, имейте в виду, что это может коснуться и вашей компании тоже. Подготовьтесь к этому наилучшим образом.