We sturen u deze informatie zodat u alle verificatie-, inperkings- en uitroeiingsmaatregelen kunt nemen die u passend acht met betrekking tot frauduleuze e-mailcampagnes.
Er vindt massamailing plaats met frauduleuze inhoud die verband houdt met een risicovolle dreiging. De e-mails zijn gerelateerd aan malware die bekend staat als Emotet. Naast het zich toe-eigenen van informatie en het verspreiden ervan via e-mail, fungeert Emotet als een Trojaans paard dat de deur opent naar andere actoren. Deze gebruiken op hun beurt vaak kwaadaardige software voor spionage, inbraak in organisaties en het versleutelen van informatie met als doel losgeld te eisen.
Emotet wordt per post verspreid in golven die ten minste sinds augustus 2017 terugkeren. De activiteit was in het tweede kwartaal van 2019 stopgezet, maar is vanaf 15 september bijzonder actief en met wereldwijde impact hervat, wat de verklaring heeft gemotiveerd. Dit is echter een constante dreiging waarbij we moeten zoeken naar effectieve maatregelen die blijvend actief kunnen blijven.
Een van de factoren die ervoor zorgen dat deze campagnes zeer succesvol zijn, is het hergebruik van eerder gecompromitteerde e-mailthreads om het vertrouwen van de gebruiker te winnen. In veel gevallen wordt een van de identiteiten geïmiteerd (tenminste de naam van een van hen) en worden kantoordocumenten met kwaadaardige inhoud via macro's bijgevoegd. Malware is meestal korte, vage tekst, die lijkt op een reactie op een eerder bericht. "In afwachting van bevestiging van het materiaal dat u nodig hebt" of "nieuwe sjabloon" zijn echte voorbeelden van de inhoud ervan. De bron van de e-mail wordt meestal getoond aan e-mailclients met twee adressen, waarvan de laatste de afzender van de e-mail is en meestal onbekend bij de ontvanger.
Als Centrum voor Informatiebeveiliging van Catalonië (CESICAT) bevelen we de volgende maatregelen aan om deze bedreiging het hoofd te bieden:
- Gebruikersbewustzijn: wees op uw hoede voor bijlagen die afkomstig zijn van onbekende of verdachte adressen. Wees op uw hoede als een bericht twee verschillende adressen als bron heeft
- Standaardinstellingen voor macro's uitschakelen
- Antivirus bijwerken
- Bewaak en weiger uitgaande communicatie van firewalls naar externe locatiepoorten 447, 449 en 20
- Controleer of de laatste còpia De beveiliging van de als meest kritiek beschouwde informatie is volledig gewaarborgd en zorgt ervoor dat deze offline blijft.
Anderzijds adviseren wij ook de volgende aanvullende maatregelen toe te passen:
- Verhoog de maatregelen ter bescherming van inkomende e-mail:
- Evalueer de implementatie van het blokkeren van die e-mails met Microsoft Office-bestanden met macro's (inclusief Excel)
- Blokkeer e-mails die kwaadaardige URL's bevatten die verband houden met Emotet.
- Scan inkomende e-mail met een antivirusprogramma met bijgewerkte handtekeningen
- Analyseer indien mogelijk inkomende e-mail in sandboxen.
- Netwerksegmentatie
- Schakel RDP uit wanneer dit niet strikt noodzakelijk is
- Segmentatie op gebruikersniveau: stel een protocol in waardoor de gebruiker geen toegang heeft vanaf een computer, om te voorkomen dat, in het geval dat de inloggegevens van deze computer worden gecompromitteerd, toegang kan worden verkregen tot elke computer in het betreffende gebied.
- Herziening van privileges en wijziging van inloggegevens
- Controleer de configuratie van regels op administratief niveau
- Tijdelijke uitvoering van programma's en code voorkomen
Neem in geval van een incident contact op met CESICAT-CERT cert@cesicat.cat
Referenties:
Emotet-specifieke risicobeperkende maatregelen
Dreigingsbericht: Emotet keert terug van zomervakantie, voert gestolen e-mailtactiek op
Piepcomputer: Emotet-trojan evolueert sinds hij opnieuw is ontwaakt, dit is wat we weten
Cisco Talos Intelligence: Emotet is terug na een zomervakantie
