Microsoft: Вредоносное ПО Emotet отключает всю сеть из-за перегрева ПК

Группа по кибербезопасности Microsoft, команда по обнаружению и реагированию (DART), в четверг сообщила, что вся ИТ-сеть клиента была отключена из-за перегрева компьютеров из-за вредоносного ПО Emotet после того, как один из сотрудников попался на уловку и открыл вложение в фишинговом электронном письме.

Вредоносное ПО заразило системы Fabrikam (вымышленное название, используемое Microsoft для жертвы в ее исследовании случая), украдя учетные данные администратора, аутентифицируя себя на новых системах.

Позже оно сделало боковые перемещения, заразив другие системы в той же сети. Вирус заморозил основные службы, максимизировав использование ЦП на устройствах Windows.

Также читайте - Вредоносное ПО Emotet может распространяться через Wi-Fi сети

«Мы рады поделиться отчетом DART Case Report 002: Полное отключение операций. В отчете 002 мы рассматриваем фактический инцидент реагирования, когда полиморфное вредоносное ПО распространилось по всей сети организации», - говорится в объявлении Microsoft DART.

«После того как фишинговое электронное письмо доставило Emotet, полиморфный вирус, который распространяется через сетевые ресурсы и устаревшие протоколы, вирус отключил основные службы организации. Вирус избегал обнаружения антивирусными решениями благодаря регулярным обновлениям от инфраструктуры командного и управляющего (C2), контролируемой злоумышленником, и распространялся по системам компании, вызывая сбои в сети и отключая жизненно важные службы на почти неделю».

Согласно Microsoft, Fabrikam вызвала DART через восемь дней после того, как сотрудник открыл фишинговое электронное письмо. К тому времени вся ИТ-операция Fabrikam остановилась, включая сеть из 185 камер наблюдения из-за вредоносного ПО Emotet.

Эксперты наблюдали, что ПК перегревались, зависали и перезагружались из-за синих экранов, в то время как интернет-соединения немного замедлялись из-за того, что Emotet потреблял всю пропускную способность.

«Когда последний из их компьютеров перегрелся, Fabrikam поняла, что проблема вышла из-под контроля. ‘Мы хотим остановить это кровотечение’, - позже скажет один из официальных лиц», - говорится в отчете исследования случая DART.

«Ему сказали, что у организации есть обширная система для предотвращения кибератак, но этот новый вирус обошел все их межсетевые экраны и антивирусное программное обеспечение. Теперь, когда они наблюдали, как их компьютеры выходят из строя один за другим, у них не было никакой идеи, что делать дальше».

Вредоносное ПО использовало скомпрометированные компьютеры сотрудников для запуска распределенной атаки отказа в обслуживании (DDoS) и подавления своей сети.

«Официальные лица объявили, что вирус угрожает всем системам Fabrikam, даже ее сети из 185 камер наблюдения», - говорится в отчете DART.

«Ее финансовый отдел не мог завершить никаких внешних банковских транзакций, а партнерские организации не могли получить доступ к каким-либо базам данных, контролируемым Fabrikam. Это был хаос.

«Они не могли сказать, вызвано ли отключение внешней кибератакой хакера или они имеют дело с внутренним вирусом. Им было бы полезно, если бы они могли даже получить доступ к своим сетевым учетным записям.

«Emotet потреблял пропускную способность сети до такой степени, что использование ее для чего-либо стало практически невозможным. Даже электронные письма не могли пробиться».

Эксперты Microsoft успешно контролировали инфекцию Emotet, используя контроль активов и буферные зоны, которые изолировали активы с административными привилегиями. Они полностью удалили инфекцию Emotet после загрузки антивирусных сигнатур и развертывания пробных лицензий Defender Advanced Threat Protection, Azure Security Scan, Azure Advanced Threat Protection и других специализированных инструментов обнаружения вредоносного ПО Microsoft.

Кроме того, инженеры по обратной разработке на месте отремонтировали Microsoft System Center Configuration Manager, что позволило Fabrikam вернуться к нормальной работе.

Microsoft рекомендует пользователям использовать инструменты фильтрации электронной почты, такие как Office 365 Advanced Threat Protection (ATP), для обнаружения и остановки распространения вредоносного ПО Emotet, а также использовать многофакторную аутентификацию (MFA) для предотвращения таких атак.