- Sicurezza informatica
Asset management e recapiti in caso di incidente, novità nel Portale della Sicurezza per le Amministrazioni Locali
Ti stiamo inviando queste informazioni affinché tu possa adottare tutte le misure di verifica, contenimento ed eradicazione che ritieni appropriate in relazione a campagne e-mail fraudolente.
Si stanno verificando invii di massa con contenuti fraudolenti associati a una minaccia ad alto rischio. Le e-mail sono relative a malware noto come Emotet. Oltre ad appropriarsi delle informazioni e diffonderle via e-mail, Emotet agisce come un cavallo di Troia che apre le porte ad altri attori. Questi, a loro volta, spesso distribuiscono software dannoso per spionaggio, intrusione nelle organizzazioni e crittografia delle informazioni allo scopo di richiedere un riscatto.
Emotet è distribuito per posta a ondate che si ripetono in modo ricorrente almeno da agosto 2017. L'attività era cessata nel secondo trimestre del 2019, ma dal 15 settembre è ripresa in modo particolarmente attivo e con impatto globale, il che ha motivato la dichiarazione. Tuttavia, questa è una minaccia costante in cui dobbiamo cercare misure efficaci che possano rimanere attive in modo permanente.
Uno dei fattori che determina il successo di queste campagne è il riutilizzo di thread di posta elettronica precedentemente compromessi per ottenere la fiducia dell'utente. In molti casi, una delle identità viene impersonata (almeno il nome di una di esse) e i documenti dell'ufficio con contenuti dannosi vengono allegati tramite macro. Il malware è solitamente un testo breve e vago, che sembra essere una risposta a un messaggio precedente. "In attesa di conferma del materiale di cui hai bisogno" o "nuovo modello" sono esempi reali del suo contenuto. L'origine della posta viene solitamente mostrata ai client di posta con due indirizzi, l'ultimo è il mittente della posta e solitamente sconosciuto al destinatario.
In qualità di Centro per la sicurezza delle informazioni della Catalogna (CESICAT), raccomandiamo le seguenti misure per far fronte a questa minaccia:
- Consapevolezza dell'utente: fai attenzione agli allegati che provengono da indirizzi sconosciuti o sospetti. Fai attenzione se un messaggio ha due indirizzi diversi come origine
- Disabilita le impostazioni predefinite delle macro
- Aggiorna antivirus
- Monitorare e negare le comunicazioni in uscita dai firewall alle porte di posizione esterne 447, 449 e 20
- Verificare che l'ultimo backup delle informazioni considerate più critiche sia completo e assicurarsi che sia offline
D'altra parte, consigliamo anche di applicare le seguenti misure aggiuntive:
- Aumentare le misure di protezione della posta in arrivo:
- Valuta l'implementazione del blocco di tali e-mail con i file di Microsoft Office con le macro (excel incluso)
- Blocca le email contenenti URL dannosi relativi a Emotet.
- Scansiona la posta in arrivo con un antivirus con firme aggiornate
- Se possibile, analizza la posta in arrivo nelle sandbox.
- Segmentazione della rete
- Disabilita RDP quando non strettamente necessario
- Segmentazione a livello di utente: Stabilire un protocollo attraverso il quale l'utente non possa accedere da nessun computer, in modo da evitare che, in caso di compromissione delle credenziali di questo, si possa accedere a qualsiasi macchina dell'area interessata.
- Revisione dei privilegi e modifica delle credenziali
- Rivedere la configurazione delle regole a livello amministrativo
- Impedisci temporaneamente l'esecuzione di programmi e codici
In caso di incidente, contattare CESICAT-CERT cert@cesicat.cat
Riferimenti:
Misure di mitigazione specifiche per Emotet
Post di minaccia: Emotet ritorna dalle vacanze estive, aumenta la tattica delle email rubate
Bleeping computer: Emotet Trojan si evolve da quando è stato Rewakend, ecco cosa sappiamo
Cisco Talos Intelligence: Emotet torna dopo una pausa estiva