Emotet botnet đã trở lại sau 5 tháng ngừng hoạt động

Emotet được biết đến là phần mềm độc hại (malware) nguy hiểm nhất trong năm 2019, nó được phát tán tới người dùng email thông qua các email spam. Mặc dù Emotet đã bị block vào ngày 7 tháng 2 năm 2020 sau khi các tổ chức quốc tế phối hợp chặn các máy chủ (server) điều khiển, tuy nhiên malware vẫn nằm vùng ngủ đông tại máy tính của nhiều khách hàng.

Dựa  trên các cảnh báo tin cậy, virus chính thức đã quay trở lại vào khoản 13/7 tuy nhiên nó thật sự bùng bổ khi số lượng lây nhiễm đã tăng lên theo cấp số nhân trong 2 tuần vừa qua. Botnet malware, chạy trên ba cụm Server khác nhau với các tên gọi lần lượt là: Epoch 1, Epoch 2 và Epoch 3. Đây là trung tâm phát tán các email spam, nhằm lây nhiễm các phần mềm độc hại tới người dùng email.

Các email spam có file đính kèm là dạng .doc hoặc có URL liên kết dẫn đến file tải tài liệu dạng .doc có chứa các macro độc hại, nếu người dùng tải file về, Emotet malware sẽ được tự động cài đặt vào hệ thống. Mã độc này đặc biệt nguy hiểm với các máy tính sử dụng phần mềm Mail Client như Outlook, Thunder Bird, ... Phương thức phổ biến ở Việt Nam là Emotet tìm kiếm danh sách liên lạc và gửi cho bạn bè, gia đình, đồng nghiệp và khách hàng….. gửi thư điện tử có sẵn trong hộp thư người dùng đi tới rất nhiều địa chỉ mail khác nhau, trong đó có cả người dùng trong danh mục có sẵn làm thất thoát thư điện tử, kèm theo các nội dung thư điện tử là các mã độc được đính kèm để tấn công người nhận thư. Thư điện tử lừa đảo, giả mạo được gửi từ hòm thư chính thức của người trong cơ quan nên thường làm cho người nhận chủ quan, tin tưởng mở xem ngay dẫn đến tình trạng bị lây nhiễm mã độc, đồng thời trở thành bàn đạp để tấn công máy tính khác.

Phiên bản mới lây nhiễm tại Việt nam của mã độc Emotet có thể cố gắng thuyết phục người dùng nhấp vào các tệp độc hại bằng cách sử dụng các đề tài như “Thanh toán hóa đơn”, “Chi tiết thanh toán”,… các email này trông không giống như thư rác và người nhận có xu hướng nhấp vào các URL xấu và tải xuống các file độc hại.

Ảnh chụp màn hình malware Emotet - Nguồn: Spamhaus

Các chuyên gia an ninh mạng cho biết, 3 cụm server này đã gửi khoảng 80.000 email spam đến vô số các người dùng email ở các công ty khác nhau chỉ tính trong 5 ngày từ khi tái kích hoạt. Tin tức về sự trở lại của Emotet đã làm chấn động cả ngành an ninh mạng. Theo các thống kê từ trước đến nay, Emotet được xem là hoạt động của bọn tội phạm mạng có quy mô lớn nhất và tinh vi nhất.

Nhóm viết mã độc Emotet hiện đang vận hành một cơ sở hạ tầng spam mail để lây nhiễm mã độc tới người dùng email bằng trojan Emotet. Sau đó, nó sẽ tận dụng sự xâm nhập thành công này để triển khai các phần mềm độc hại khác, với các mục đích tấn công mạng khác nhau (như triển khai mô-đun trojan ngân hàng), hoặc cho các nhóm tội phạm mạng khác thuê quyền truy cập vào máy chủ bị lây nhiễm mã độc (như băng đảng ransomware, nhà khai thác phần mềm độc hại khác như Trickbot, v.v..)

Nhóm điều khiển Emotet có mối liên hệ chặt chẽ với các nhóm hacker ransomware, tại một số quốc gia như Đức hoặc Hà Lan, Emotet malware được đánh giá mức độ nguy hiểm khẩn cấp tương tự như tấn công ransomware. Các công ty và tổ chức doanh nghiệp, khi phát hiện máy chủ bị nhiễm Emotet sẽ được yêu cầu cách ly hệ thống bị nhiễm và đưa toàn bộ server này về tình trạng ngoại tuyến (Off Internet) trong khi các chuyên viên tổ chức điều tra tìm vết và loại bỏ malware ra khỏi hệ thống. Tin mừng là hiện tại 1 số phần mềm Antirus như Bitdefender, Kaspersky v.v đã bắt đầu cập nhật để phát hiện các virus này trong email và ngăn chặn trước khi nó kịp phát tán.

Tuy nhiên đối với các tổ chức, cá nhân đã bị nhiễm cách an toàn và triệt để nhất là nên cài đặt mới lại hệ điều hành có bản quyền và update các bản cập nhật mới nhất, chỉ sử dụng các phần mềm gửi nhận email có tích hợp sẵn hoặc trả phí, không sử dụng các phần mềm trôi nổi trên mạng. Cài đặt các chương trình chống virus đáng tin cậy và được cập nhật thường xuyên. Nâng cao kiến thức bảo mật cho nhân viên trong tổ chức như hạn chế click vào các email lạ, các link hoặc file nghi ngờ v.v…

Phương pháp khắc phục

Nhằm bảo đảm an toàn thông tin trong hệ thống mạng của Quý cơ quan, chúng tôi đưa ra khuyến nghị sau:

Về phía người dùng:
  • Cập nhật đầy đủ bản vá Microsoft Windows.
  • Cài đặt và cập nhật thường xuyên phần mềm Antivirus.
  • Không tải xuống các file hay các đường link lạ, cảnh giác trước các email có nội dung lạ hoặc có file đính kèm.
  • Sử dụng mật khẩu mạnh, thường xuyên đổi mật khẩu email.
Về phía tổ chức:
  • Hướng dẫn người dùng trong đơn vị về nâng cao nhận thức, xử lý khi nhận các email nghi ngờ.
  • Chủ động kiểm tra, rà soát, bóc gỡ mã độc ra khỏi hệ thống mạng.
  • Phối hợp với nhà cung cấp dịch vụ email, internet để tiến hành chặn (block) các domain spam email

VietIDC xin gửi Quý khách bài viết Hướng dẫn cách kiểm tra xem PC của mình có bị nhiễm Emotet hay không.

Kính mong Quý khách hàng nâng cao cảnh giác, sử dụng email an toàn hơn.

Xin cảm ơn.



יום חמישי, ספטמבר 17, 2020





« חזרה