El ataque de Emotet cerró un …



La infección comenzó con un correo electrónico de phishing y se extendió por toda la organización, sobrecalentando todas las máquinas e inundando su conexión a Online.

Microsoft ha publicado un informe de caso que detalla su respuesta a un ataque masivo de Emotet que derribó toda una pink empresarial, evadiendo el program antivirus y sobrecalentando todas sus máquinas Windows. La infección comenzó cuando un empleado abrió un archivo adjunto malicioso.

El Equipo de Detección y Respuesta de Microsoft (DART) informa que un atacante envió «un enjambre» de correos electrónicos de phishing a los empleados de Fabrikam, un alias que le dio a la empresa cliente para proteger su identidad. Un destinatario abrió un archivo adjunto al correo electrónico Como resultado, sus credenciales fueron enviadas al servidor de comando y manage de los atacantes y otorgaron acceso a la máquina a los intrusos.

Este acceso era lo que necesitaban para lanzar su program más amplio, que era difundir Emotet en toda la crimson. Emotet, un malware automatizado, se utiliza para recopilar datos sobre empresas y personas por robo y fraude a través de troyanos bancarios y otras herramientas de robo de credenciales. Es un virus polimórfico, lo que significa que se actualiza con nuevas definiciones cada pocos días, dice DART. Los atacantes entregaron actualizaciones de su infraestructura C2 para evitar firewalls y herramientas antivirus.

Cuatro días después de obtener credenciales en Fabrikam, los atacantes usaron la cuenta infectada inicial para enviar correos electrónicos de phishing a otros empleados en la pink. Muchos filtros de correo electrónico comunes no analizan los mensajes enviados internamente, y los empleados generalmente confían en los correos electrónicos enviados desde una cuenta interna. Como resultado, más empleados hicieron clic en archivos adjuntos maliciosos y descargaron malware.

«Al trabajar a través de cuentas administrativas, diseminó troyanos que roban credenciales en las cuentas de los empleados y los usó para autenticarse dentro de la purple», explicaron los funcionarios de DART en su estudio de caso. «Fabrikam no tenía ninguna herramienta de visibilidad de purple, así que durante las siguientes veinticuatro horas Emotet se abrió camino a través de su infraestructura sin levantar ninguna señal de alerta».

Para el día ocho, las operaciones de TI de la organización se habían cerrado. Las computadoras se congelaron cuando sus CPU se agotaron. El virus amenazó a todos sus sistemas, incluida una purple de 185 cámaras de vigilancia. Su departamento de finanzas no pudo completar transacciones externas Las organizaciones asociadas no podían acceder a las bases de datos Fabrikam. El departamento de TI, que no pudo determinar si estaban enfrentando un ataque externo o un virus interno, se apresuró a investigar pero no pudo acceder a las cuentas de pink: un ataque de denegación de servicio distribuido (DDoS) había inundado la purple con tráfico.

«Emotet consumió el ancho de banda de la red hasta que usarlo para cualquier cosa se volvió prácticamente imposible», informa DART. «Incluso los correos electrónicos no podían pasar».

Reconociendo que el problema estaba fuera de su handle, Fabrikam llamó a DART ocho días después del correo electrónico de phishing inicial. A un funcionario le dijeron que la organización tenía un «sistema extenso para prevenir ataques cibernéticos», pero el virus había evadido todos sus firewalls y software program antivirus. Un grupo de especialistas de DART fue al sitio con Fabrikam otros miembros comenzaron a ayudar de forma remota.

Debido a que los sistemas existentes de la organización no otorgaron visibilidad a DART en las operaciones de los atacantes, implementaron licencias de prueba de Defender Advanced Risk Defense, Azure Safety Scan, Azure Highly developed Risk Defense providers y otras herramientas de detección de malware de Microsoft. Los especialistas aprendieron que necesitaban hacer cambios arquitectónicos para detener la propagación de Emotet y adoptar medidas administrativas para contenerlo y eliminarlo. Implementaron controles de activos y crearon brechas entre los activos con privilegios de administrador en todo el entorno.

«Estas zonas de protección contenían el virus lo suficiente como para eliminarlo con un application antivirus», DART informe de los funcionarios. «Con la arquitectura implementada y las herramientas de detección implementadas, DART cargó las firmas antivirus y erradicó el virus Emotet».

DART señala errores en las mejores prácticas de seguridad de Fabrikam que contribuyeron al problema. Los filtros de correo electrónico no marcaron los correos electrónicos internos, dando a los atacantes la libertad de difundir Emotet sin generar alertas. Las herramientas de visibilidad de la red podrían haber detectado el virus desde el principio. Además, el diferencial puede haberse ralentizado y las cuentas de alto valor protegidas, si los directorios administrativos de la organización no se hubieran dejado abiertos.

Si bien Microsoft no especificó la compañía afectada en su estudio de caso, un informe de ZDNet Señala Los detalles de este ataque se alinean con un incidente de seguridad cibernética que afecta a la ciudad de Allentown, Pensilvania, en febrero de 2018. En el momento del ataque, un Informe AP declaró que la infección de Emotet afectó a las máquinas del gobierno y comenzó a autorreplicarse y robar credenciales. Según los informes, la ciudad pagó a Microsoft una suma inicial de $ 185,000 en tarifas de respuesta de emergencia para contener el virus, que se esperaba que costara de $ 800,000 a $ 900,000 adicionales en costos de recuperación.

Contenido relacionado:

Kelly Sheridan es la Editora de own de Darkish Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Engineering, donde cubrió asuntos financieros … Ver biografía completa

Más suggestions





Enlace a la noticia primary