- Cíber segurança
Gestão de ativos e contactos em caso de incidente, novidades no Portal de Segurança das Administrações Locais
Enviar-lhe-emos esta informação para que possa tomar as medidas de verificação, contenção e erradicação que considere adequadas em relação a campanhas de email fraudulentas.
O envio em massa com conteúdo fraudulento associado a uma ameaça de alto risco está ocorrendo. Os e-mails estão relacionados a malware conhecido como Emotet. Além de se apropriar de informações e divulgá-las por e-mail, o Emotet atua como um cavalo de Tróia que abre as portas para outros atores. Estes, por sua vez, geralmente implantam software malicioso para espionagem, intrusão em organizações e criptografia de informações com o objetivo de exigir um resgate econômico.
O Emotet é distribuído por correio em vagas que ocorrem de forma recorrente pelo menos desde agosto de 2017. A atividade tinha cessado no segundo trimestre de 2019, mas a partir de 15 de setembro retomou de forma especialmente ativa e com impacto global, o que motivou a declaração. No entanto, esta é uma ameaça constante diante da qual devem ser buscadas medidas efetivas que possam permanecer ativas de forma permanente.
Um dos fatores que está fazendo com que essas campanhas tenham muito sucesso é a reutilização de threads de e-mail anteriores comprometidos em ganhar a confiança do usuário. Em muitos casos, uma das identidades é representada (pelo menos o nome de uma delas) e documentos do Office com conteúdo malicioso são anexados por meio de macros. E-mails maliciosos geralmente são textos curtos e em termos vagos, que parecem ser a resposta a uma mensagem anterior. "Aguardando confirmação do material que você precisa" ou "novo modelo" são exemplos reais de seu conteúdo. A origem do correio geralmente é mostrada para clientes de correio com dois endereços, sendo este último o remetente do correio e geralmente desconhecido para o destinatário.
Como Centro de Segurança da Informação da Catalunha (CESICAT), recomendamos as seguintes medidas para lidar com esta ameaça:
- Conscientização do usuário: tenha cuidado com anexos provenientes de endereços desconhecidos ou suspeitos. Tenha cuidado se uma mensagem tiver dois endereços diferentes como origem
- Desativar macros por padrão
- Atualizar antivírus
- Monitore e negue comunicações de saída de firewalls para portas de localização externa 447, 449 e 20
- Verifique se o backup mais recente das informações consideradas mais críticas está completo e certifique-se de que esteja offline
Por outro lado, também recomendamos as seguintes medidas adicionais a serem aplicadas:
- Aumente as medidas de proteção de e-mails recebidos:
- Avalie a implementação do bloqueio desses e-mails com arquivos do Microsoft Office com Macros (excel incluído)
- Bloqueie e-mails contendo URLs maliciosos relacionados ao Emotet.
- Verifique os e-mails recebidos com um antivírus com assinaturas atualizadas
- Se possível, analise as correspondências recebidas em sistemas dinâmicos de análise de comportamento (sandboxes).
- Segmentação de rede
- Desative o RDP quando não for estritamente necessário
- Segmentação em nível de usuário: estabelecer um protocolo pelo qual o usuário não possa acessar de nenhum computador, a fim de evitar que, caso as credenciais deste sejam comprometidas, seja possível acessar qualquer máquina da área em questão.
- Revisão de privilégios e alteração de credenciais
- Revise a configuração de regras no nível administrativo
- Evite execuções de programas e código temporariamente
Em caso de incidente, entre em contato com o CESICAT-CERT cert@cesicat.cat
Referências:
Medidas de mitigação específicas do Emotet
Poste de ameaça: Emotet retorna das férias de verão, aumenta a tática de e-mail roubado
Bleepingcomputador: Emotet Trojan evolui desde o despertar, aqui está o que sabemos
Cisco Talos Intelligence: Emotet está de volta após as férias de verão