Trong thời gian vừa qua, trên hệ thống theo dõi giám sát an toàn thông tin, Công ty Cổ phần Công nghệ An toàn thông tin và Truyền thông Việt Nam (VNIST) đã phát hiện một đợt tấn công qua malware Emotet nhắm vào các ngân hàng, tổ chức tại Việt Nam gây mất an toàn, an ninh thông tin gây thất thoát nội dung điện tử, mã hóa, phá hủy dữ liệu.
Emotet là một loại Trojan chủ yếu lây lan qua các email spam (malspam) nên khả năng lây lan và phát tán rất nhanh. Emotet được bắt đầu phát hiện từ năm 2014 tuy nhiên thời gian gần đây có các biến thể mới phát tán thông qua hệ thống thư điện tử, hiện kiểm tra dưới 25% các hệ thống Antivirus trên Virus Total có khả năng phát hiện ra biến thể này.
“Phiên bản hiện tại của Emotet có khả năng cài đặt phần mềm độc hại khác vào các máy bị nhiễm. Phần mềm độc hại này có thể bao gồm các Trojan hoặc các mã độc phát tán malspam. ”
Phân tích phiên bản Emotet tại Việt Nam mới đây cho thấy nhiều vấn đề nguy hiểm:
Phương thức lây lan chính cho Emotet là thông qua thư điện tử. Các email này có file đính kèm là dạng .doc hoặc có URL liên kết dẫn đến file tài liệu dạng .doc có chứa các macro độc hại, nếu người dùng tải file về, Emotet malware sẽ được tự động cài đặt vào hệ thống. Mã độc này đặc biệt nguy hiểm với các máy tính sử dụng phần mềm Mail Client như Outlook,…….
Emotet tìm kiếm danh sách liên lạc và gửi cho bạn bè, gia đình, đồng nghiệp và khách hàng….. gửi thư điện tử có sẵn trong hộp thư người dùng đi tới rất nhiều địa chỉ mail khác nhau, trong đó có cả người dùng trong danh mục có sẵn làm thất thoát thư điện tử, kèm theo các nội dung thư điện tử là các mã độc được đính kèm để tấn công người nhận thư. Thư điện tử lừa đảo, giả mạo được gửi từ hòm thư chính thức của người trong cơ quan nên thường làm cho người nhận chủ quan, tin tưởng mở xem ngay dẫn đến tình trạng bị lây nhiễm mã độc, đồng thời trở thành bàn đạp để tấn công máy tính khác.
Phiên bản mới lây nhiễm tại Việt nam của mã độc Emotet có thể cố gắng thuyết phục người dùng nhấp vào các tệp độc hại bằng cách sử dụng các đề tài như “Thanh toán hóa đơn”, “Chi tiết thanh toán”,… các email này trông không giống như thư rác và người nhận có xu hướng nhấp vào các URL xấu và tải xuống các file độc hại.
Emotet đã trải qua nhiều phiên bản. Các phiên bản đầu tiên xuất hiện dưới dạng một file JavaScript độc hại. Các phiên bản sau này đã phát triển để sử dụng macro bên trong các tài liệu để tải về payload từ các máy chủ chỉ huy (C&C) do tin tặc điều hành.
Khai thác thành công cho phép tin tặc đánh cắp thông tin, thu thập email, mã hóa tống tiền, điều khiển từ xa và rất nhiều hành vi nguy hiểm khác.
Phương pháp khắc phục:
Nhằm bảo đảm an toàn thông tin trong hệ thống mạng của Quý cơ quan, chúng tôi đưa ra khuyến nghị sau:
- Về phía người dùng:
+ Cập nhật đầy đủ bản vá Microsoft Windows.
+ Cài đặt và cập nhật thường xuyên phần mềm Antivirus.
+ Không tải xuống các file hay các đường link lạ, cảnh giác trước các email có nội dung lạ hoặc có file đính kèm.
+ Sử dụng mật khẩu mạnh, sử dụng xác thực hai yếu tố.
- Về phía tổ chức:
+ Hướng dẫn người dùng trong đơn vị về nâng cao nhận thức, xử lý khi nhận các email nghi ngờ.
+ Chủ động kiểm tra, rà soát, bóc gỡ mã độc ra khỏi hệ thống mạng.
+ Thiết lập giám sát, kiểm tra và xử lý các thiết bị trong toàn bộ hệ thống mạng dấu hiệu kết nối đến các tên miền độc hại sau:
hxxps://marinamet[.]work/wp-admin/ksx2892006/
hxxp://www.slservicebd[.]com/wp-content/ezP/
hxxp://ajedrezenmorelos[.]com/imagenes/bcPAkRelh/
hxxp://saimission[.]org/sai/fU/
hxxps://toprakmedia[.]com/cgi-bin/F/
hxxp://tonmeister-berlin[.]de/Dokumente/Zqmb3/
hxxp://www.essand[.]com/test/SOx5LA/
hxxp://gzamora[.]es/9s52_ou17husakvth9fs_resource/sFe3aa/
hxxp://powerfrog[.]net/Anna/ifqE/
hxxp://sasystemsuk[.]com/recruit/H/