Visapusiška verslo apsauga

ESET Lietuva pagalbos tarnybos specialistai įspėja - 2020 metų, gruodžio 30 dieną Lietuvos įmonių ir Valstybės institucijų tarpe ėmė plisti pavojingas, į pašto serverius nukreiptas užkratas (trojanas ir botnetas) geriau žinomas pagal „Emotet“ pavadinimą. Šis virusas visame pasaulyje nuo 2018 metų lapkričio 9 dienos nepageidaujamais laiškais (angl. spam) atakuoja e. pašto serverius.

Pastaba: jeigu kompiuteryje nėra pašto programos šis virusas nepasileidžia, o laukia, kol galės būti įgalintas.

ESET Lietuva specialistai rekomenduoja naudoti ESET PROTECT Mail Plus saugumo sprendimą, kuris užkerta kelią tokių ir dar anksčiau nematytų, t.y. nulinės dienos, grėsmių patekimui į įmonės tinklą. Tai pažangi apsauga, su smėliadėžės technologija bei pašto serverio apsauga, kurie neleidžia tokio tipo kompiuteriniams virusams užkrėsti jūsų įrenginių.

Trojanas „Emotet“ gana agresyviai bando brautis į kompiuterius ir išmaniuosius įrenginius. Virusas veikia panašiai kaip kompiuterinis kirminas – kenkėjiška programa dauginasi ir plinta savarankiškai. Kenkėjiški laiškai iš pirmo žvilgsnio atrodo gauti iš patikimo gavėjo. Į aukos kompiuterį trojanas patenka paspaudus užkrėstą nuorodą arba per prie e. laiškų prisegtus priedus, PDF dokumentus ir fiktyvias sąskaitas.

Šiemet pastebėta, kad padaugėjo į „Microsoft“ operacinę sistemą nukreiptų kenkėjų. Pavyzdžiui, „SMB.Attack. Generic“, geriau žinomų kaip kenkėjiška programa, kurios pagrindu išplito „WannaCry“, „Emotet“ ir „Trickbot“ virusai. Pastebima, kad „Emotet“ tik vienas iš kelių skirtingų Lietuvoje plintančių kenkėjų. Prieš trejus vykusi masinė kibernetinė ataka „WannaCryptor“, pakenkusi per 200 000 kompiuterių visame pasaulyje, gali vėl pasikartoti, jei įmonės neatsinaujins ar neapsaugos naudojamų pasenusių „Windows“ sistemų. „WannaCry“ remiasi vadinamuoju „EternalBlue“ išnaudojimu, kuomet, pasinaudojus „Server Message Block“ protokolo kritine saugumo spraga, yra platinamas išpirkos reikalaujantis kenkėjas „WannaCryptor.D“.

ESET Lietuva pagalbos tarnybos specialistai įspėja - spalio 15 dieną Lietuvos įmonių ir Valstybės institucijų tarpe ėmė plisti pavojingas, į pašto serverius nukreiptas užkratas (trojanas ir botnetas) „GenScript.KLH trojan“, kuris plinta kaip prisegtas dokumentas, siunčiant elektroninius laiškus. Kenkėjiška programa taip pat nukreipta ir į pašto serveryje esančius saugomus laiškus, kurie užkrečiami „VBA/TrojanDownloader.Agent“ skriptu ir išsiunčiami atsitiktiniams adresatams.

2020 metų, spalio 15 d. išplitusio trojano „GenScript.KLH trojan“ paveiktas dokumentas, kuris yra užkrėstas „VBA“ skriptu „VBA/TrojanDownloader.Agent“, yra aptinkamas ir identifikuojamas kaip „GenScript.KLH“ trojanas. Šios kenkėjiškos programos platinimo metodas yra „SPAM“ tipo kompanija per užkrėstus pašto serverius. Kenkėjo veikimo principas yra, kuomet atidarius užkrėstą *.doc failą, aktyvuojama užkoduota „Powershell“ komanda ir atsiunčiamas vykdomasis *.exe failas.

Šis kenkėjiškas virusas atakuoja transporto agentą (MTA) ir laiškų atidavimo vartotojams dalį (IMAP). Kenkėjas plinta tiek „Microsoft Exchange Server“, tiek „Linux“ pašto serveriuose, kuriuose nėra tinkamos pašto apsaugos ir nėra aktyvuotas el. pašto antraštės (angl. header) tikrinimas. Remiantis ESET telemetriniais duomenimis, gerokai mažiau paveikti el. pašto serveriai, esantys „Office365“ ir „GSuite“ aplinkose. Virusas atakuoja tiek transporto agentą (MS Exchange atveju - EdgeTransport.exe), tiek laiškų atidavimo vartotojams dalį (IMAP).

Šios kenkėjiškos programos tikslas yra konfidencialios informacijos ir prisijungimo duomenų vagystės, įtraukimas į botnet tinklus, papildomų kenkėjų parsisiuntimas bei galiausiai – failų užšifravimas. Pastebima, kad dažniausiai šio kenkėjo trojano atakuojami yra Lietuvos įmonių ir valstybinių įstaigų pašto serveriai, el. pašto serverių paslaugų tiekėjai ir asmenys, neturintys jokios arba turintys nepakankamą antivirusinę apsaugą ir netikrinantys siuntėjo antraštės (angl. header).

Taip, remiantis ESET duomenimis apie „GenScript.KLH trojan“, klientai turintys ESET PROTECT Mail Plus ir įdiegę visus reikalingus programinės įrangos atnaujinimus, sėkmingai išvengė šios kenkėjiškos programos atakos. ESET klientams rekomenduojame į pašto serverį įdiegti naujausią ESET PROTECT Mail Plus. Pašto serveryje aktyvuoti el. laiško antraščių patikrą. Darbo vietose naudoti naujausią ESET Endpoint Security ( su antispam funkcija ir ugniasiene - angl. firewall). Per ESET PROTECT konsolę nustatyti klientinę užduotį periodiniam darbo vietų skenavimui.

ESET PROTECT Mail Plus suteikia papildomą apsaugos sluoksnį ir sustiprina pašto dėžučių apsaugą. Pavojingas failas yra analizuojamas virtualioje smėlio dėžės aplinkoje imituojant įprasto kompiuterio veikimą. Tai padeda atskleisti paslėptus kenkėjiškus virusus ir užkirsti kelią jų patekimui į įmonės tinklą. Šis sprendimas geba rasti tinkamus sprendimo būdus ir užkirsti kelią tokių grėsmių tolimesniam plitimui įmonės tinkle.

1. Atlikti visų kompiuterių, kuriose buvo atidaryti el. laiškai su kenksmingu kodu, patikrą. Patikrinti kompiuterius su naujausia ESET antivirusine programa ar ESET „Online scanner“ atliekant įrenginio nuskaitymą nuo kenkėjiškų programų. Atsisiųskite nemokamai:
https://www.eset.com/lt/namams/online-scanner/

2. Įdiegti operacinės sistemos ir naudojamų programų naujausius pataisymus. Visuomet naudokite naujausias programinės įrangos versijas.

3. Pakeisti kompiuteryje naudojamų paskyrų (el. pašto, soc. tinklų ir kt.) slaptažodžius.