Po počiatočnej infekcii útočník nainštaluje malvér TrickBot, ktorý sa často používa na odcudzenie údajov. Poslednou fázou je inštalácia ransomvéru Ryuk, ktorý zašifruje vybrané súbory na zariadeniach a vyžaduje platbu v bitcoinoch. Suma sa pohybuje od jedného do 99 bitcoinov (tento týždeň sa hodnota bitcoinu pohybuje v sume približne 9.000 EUR) a útočník ju určí v závislosti od ekonomických možností obete. Ryuk je ransomvér, ktorý vznikol z populárneho ransomvér Hermes. Má niekoľko pozoruhodných atribútov, medzi ktoré patrí pomerne vysoký dopyt po výkupnom od veľkých organizácii, avšak ako bolo vyššie spomenuté, po jeho rastúcej asociácii s EMOTETom a TrickBotom už je výška výkupného rôzna.
EMOTET sa primárne šíri prostredníctvom vierohodne vyzerajúcej správy od organizácie, v ktorej vás upozorňujú na variabilnú škálu podnetov – od neuhradenej faktúry, až po nové pravidlá týkajúce sa šírenia ochorenia Covid-19. Infekcia sa následne vykonáva prostredníctvom škodlivého skriptu, dokumentov s povolenými makrami alebo prostredníctvom iného škodlivého obsahu. Emaily sa môžu javiť legitímne a často nabádajú k okamžitému otvoreniu správy bez preverenia. EMOTET po infekcii prehľadá váš zoznam kontaktov a rozošle ďalšie phishingové e-maily. Keďže e-mail príde od legitímneho odosielateľa, adresáti (typicky rodina, známi a kolegovia) sú náchylnejší ho otvoriť. EMOTET používa na prijímanie aktualizácií Comand and Control servery. Funguje to rovnako ako aktualizácie operačného systému a môže k ním prísť bezproblémovo bez toho, aby mal o tom používateľ vedel. To umožňuje útočníkom nainštalovať nielen aktualizované verzie škodlivého softvéru, ale aj ďalší škodlivý softvér.
Národné centrum kybernetickej bezpečnosti SK-CERT odporúča:
- Udržiavať zariadenia v aktualizovanom stave. Malvér TrickBot, ktorý je prostredníctvom malvéru EMOTET inštalovaný do napadnutého zariadenia, sa často spolieha na aktuálne aj staršie zraniteľnosti, medzi ktoré patrí aj Eternal Blue (najzávažnejšia zraniteľnosť využívaná pri útokoch atribuovaných Severnej Kórei – Wannacry).
- Dodržiavajte základy kybernetickej hygieny, resp. poučte svojich zamestnancov:
- Neotvárať neoverené správy a správy od neznámych používateľov.
- Neotvárať podozrivé prílohy (ani vo Vám známych formátoch ako .pdf/.docx a iné).
- Zakázať povoľovanie makier v dokumentoch.
- Neotvárať URL odkazy vzbudzujúce podozrenie.
- V prípade využívania emailových aplikácií vypnúť funkciu náhľadu do prílohy.
- V prípade podozrenia overiť obsah správy u odosielateľa inou formou (telefonicky, osobne).
- Nikdy nereagovať na správy žiadajúce akékoľvek osobné a citlivé údaje (prihlasovacie mená, heslá, údaje o platobných prostriedkoch).
- Pravidelne si zálohovať svoje dáta.
