Компютърният гигант Acer е ударен от хакерската група REvil, която е поискала най-големия известен откуп до момента – 50 млн. USD.
Информацията идва от самите хакери, които са публикували на сайта си изображения на файловете (финансови таблици и банкови комуникации), които твърдят, че са откраднали.
Атаката вероятно е дошла от експлойт на Microsoft Exchange.
Засега Acer не коментира подробности.
След като стана известно, че хакери са използвали zero-day уязвимости, за да компрометират Microsoft Exchange сървъри, ежедневно научаваме за нови експлоатации.
Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.
Microsoft observed a new family of human operated ransomware attack customers – detected as Ransom:Win32/DoejoCrypt.A. Human operated ransomware attacks are utilizing the Microsoft Exchange vulnerabilities to exploit customers. #DearCry @MsftSecIntel
— Phillip Misner (@phillip_misner) March 12, 2021
До момента киберспециалистите са открили жертви на криптовируса в САЩ, Люксембург, Индонезия, Ирландия, Индия и Германия.
Детекторите на доставчиците на антивирусен софтуер са засекли множество разновидности на DearCry:
Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb
Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:
Криптираните файлове получават допълнително разширение .CRYPT:
Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:
След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:
Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.
Прочетете още: Над 61% от всички Microsoft Exchange Server не са пачнати срещу активно експлоатирана уязвимост
Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.
Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.
Не неглижирайте и възможността в инфраструктурата ви вече да „живее“ недоброжелател – разгледайте и приложете стъпките, които Microsoft препоръчва за смекчаване на последиците:
Microsoft has released a new, one-click mitigation tool, the Microsoft Exchange On-Premises Mitigation Tool, to help customers who do not have dedicated security or IT teams to apply security updates for Microsoft Exchange Server. Learn more: https://t.co/IfChAqpcEH pic.twitter.com/xD94M8Czg5
— Microsoft Security Intelligence (@MsftSecIntel) March 15, 2021
Двете големи кибератаки от последните месеци, насочени към сървърите на Microsoft Exchange и софтуера за сигурност SolarWinds, потенциално компрометираха хиляди държавни и частни компютърни мрежи.
Затова Белият дом обединява усилия с частния сектор за увеличаване на киберзащитата в държавата.
За първи път компании от частния сектор са поканени да участват в ключови срещи за националната сигурност с цел да подпомогнат намирането на адекватни решения.
Нуждата от прилагане на спешни мерки се налага и от появата на нов щам на рансъмуер, който използва недостатък в сигурността на сървърите на Microsoft Exchange.
През лятото на 2020 г. беше открит зловреден софтуер за Mac (XCSSET), който се разпространява чрез на Xcode. Той използва две 0-day уязвимости, за да открадне чувствителна информация от засегнатите системи и да стартира рансъмуер атаки.
Към момента вече е наличен и нов вариант на XCSSET, компилиран за устройства с чипове M1 на Apple.
Малуерът краде данни от популярни приложения (Evernote, Skype, Notes, QQ, WeChat, Telegram), заснема екранни снимки, дефилтрира откраднати документи на сървъра на нападателите, криптира файлове, показва бележка за откуп и др.
Изглежда, че хакерите активно прекомпилират зловреден софтуер, така че да работи за М1 чиповете на Apple за Mac. Прочетете още по темата ТУК
Последен ъпдейт на 18 декември 2020 в 08:08 ч.
През 2020 семейството на криптовируса Maze придоби печална известност, застрашавайки бизнеса на десетки организации. Сред жертвите на зловредния софтуер са LG, Xerox, Southwire и град Пенсакола.
Целта ни е да ви запознаем по-подробно с този опасен и многолик криптовирус, за да можете да изградите по-добре вашата защита.
В никакъв случай не подценявайте криптоатаките. Освен че могат да ви откраднат ценна информация, могат да ви изнудват за пари и чрез публикуването й или продажбата й на конкуренти. И в двата случая може да се стигне до загуба на репутация, влошаване на бизнес отношения, огромни финансови загуби, а и глоба по GDPR.
За Maze чухме едва през първата половина на 2019 г. По това време той дори нямаше ясно изразена следа (ransomware note). Наречен е от изследователите „ChaCha ransomware“, защото съдържа в заглавието си „0010 System Failure 0010“.
Много скоро новите версии започнаха да се наричат Maze. Злонамерените лица зад криптовируса създадоха сайт, който да „подпомага“ техните жертви в плащането на откуп за декриптиране на файловете им.
Тактиката за разпространение на Maze първоначално включва заразяване чрез експлойт комплекти (Fallout EK и Spelevo EK) и спам със злонамерени прикачени файлове.
Когато получателят отвори прикачения документ, той бива подканен да активира режима за редактиране (Enable Edit) и съдържанието (Enable Content). Ако потребителя се подлъже и избере тези опции, злонамереният макрос, съдържащ се в документа, се изпълнява и заразява компютъра на жертвата с Maze.
За кратко време Maze започна да прилага индивидуален подход при атаките на корпорации и държавни организации, за да е по-успешен и да увеличи печалбите си от изнудване.
Някои атаки стартират с таргетиран фишинг и завършват с инсталиране на Cobalt Strike RAT, докато в други случаи пробивът на мрежата е резултат от експлоатация на уязвима интернет услуга (напр. Citrix ADC / Netscaler или Pulse Secure VPN). Слабите пароли за достъп до RDP на машини, достъпни от интернет, са друг недостатък, който Maze използва.
Рансъмуерът прилага различни тактики при ескалация на привилегии, разузнаване и компрометиране на други машини в мрежата (т.нар. Lateral Movement). Използва инструменти като mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit.
По време на тези междинни етапи, злонамерените лица се опитват да локализират ценна информация, която може да се съхранява на сървърите и работните станции в компрометираната мрежа. След това те източват поверителните файлове на жертвата, за да ги използват за договаряне на откуп.
На финала Maze се инсталира на всички машини, до които злонамерените лица имат достъп. Следва криптиране на ценните данни на жертвата, с което работата на криптовируса е свършена.
Това, с което нашумя Maze е, че утвърди нова тенденция при криптовирусите. Те започнаха да заплашват да разкрият поверителните данни на жертвите си ако те откажат да платят откуп. Този подход се оказа много доходоносен за престъпниците и започна да се използва от редица престъпни групи, занимаващи се с криптовируси – REvil/Sodinokibi, DoppelPaymer, JSWorm/Nemty/Nefilim, RagnarLocker, Snatch .
Авторите на Maze поддържат и уебсайт, където изброяват последните си жертви и публикуват частично или изцяло (в случай на отказ да се плати откуп) извлечената информация.
През юни 2020 г. Maze се обедини с LockBit и RagnarLocker и образува „картел за изнудване“. Данните, откраднати от тези групи се публикуват в блога, поддържан от злонамерените лица зад Maze.
Изглежда, че престъпниците споделят помежду си не само хостинг на ексфилтрирани документи, но и опита си от компрометиране на различни инфраструктури. За това говори фактът, че Maze започна да използва техники, които преди това се използваха само от RagnarLocker.
Криптовирусът Maze обикновено се разпространява като обфускиран PE файл (EXE или DLL), написан на C/ C++. Той използва най-различни похвати, за да избегне статичен и динамичен анализ. Например, динамично импортване на API функции е само един от похватите за избягване на статичен анализ, а за да избегне динамичния – Maze убива процеси, които често се използват от специалистите по информационна сигурност – procmon, procexp, ida, x32dbg и др.
Криптографската схема на Maze се състои от няколко нива:
Схемата е вариация на типичен подход, използван от разработчиците на съвременен рансъмуер. Тя позволява на операторите да пазят своя частен RSA ключ в тайна, когато продават декриптори за всяка отделна жертва, а също така гарантира, че декриптор, закупен от една жертва, няма да помогне на друга.
Когато бъде изпълнен на една машина, рансъмуерът Maze ще иска да определи какъв компютър е заразил. Той се опитва да прави разлика между различни видове системи – сървър за съхранение на резервни копия (backup server), домейн контролер (domain controller), сървър без централизирано управление/AD (standalone server) и др. Използвайки тази информация в бележката за откуп, троянецът има за цел допълнително да изплаши жертвите и да ги накара да си мислят, че престъпниците знаят всичко за засегнатата мрежа.
Рансъмуерът се развива всеки ден и атаките стават по-мащабни и разрушителни. Това означава, че вашата защита трябва да бъде подготвена да издържи на всеки един етап от атаката.
Няма един единствен метод, чрез който да се предпазите, а трябва да следвате добрите практики в информационната сигурност, част от които са :
Въпреки взетите мерки за сигурност, електронният гигант Foxconn е пострадал от рансъмуер атака през уикенда след Деня на благодарността. Нападателите са откраднали файлове от мексиканското поделение на компанията, след което са криптирали устройствата. Поискали са откуп в биткойн, равняващ се на над 34 млн. USD.
Рансъмуер групата DoppelPaymer е потвърдила, че стои зад атаката и е публикувала бизнес документи и отчети Foxconn на сайта си.
Foxconn е най-голямата компания за електроника в световен мащаб. Произвежда фотокамери за Canon, конзоли за Sony (PlayStation 3 и PlayStation 4), Nintendo (Wii), Microsoft (Xbox 360), електронни книги за Amazon.com, цифрови телефони за Motorola, Xiaomi, OnePlus, продукти за Apple (iPhone, iPad, MacBook, iPod), Dell, HP, Cisco, дънни платки за Intel.
Към момента на публикуване на този материал уебсайтът на засегнатото поделение на Foxconn все още е недостъпен и показва грешка на посетителите.
В началото на ноември 2020 г. стана известно, че рансъмуерът Ragnar Locker е хакнал италианската компания за алкохолни напитки Campari Group. Производителят на Aperol, Campari, Cincano и много други съобщи, че не е напълно изключено да са откраднати някои лични и бизнес данни.
Престъпната група зад Ragnar Locker отговори на изявлението, като пусна във Facebook рекламна кампания, гласяща: „Това е нелепо и изглежда като голяма дебела лъжа“. Хакерите разкриват, че откраднатото от Campari Group е всъщност 2 TB чувствителни данни, а поисканият откуп е 15 млн. USD в биткойн.
Самата кампания е проведена през компрометиран Facebook акаунт. Достигнала е до над 7 хил. потребители на Facebook и е генерирала 770 кликания. Титулярът на хакнатия акаунт е споделил, че единствено за него не е приложил многофакторна автентикация (MFA).
Случилото се показва, че някои групи криптовируси са станали особено агресивни в последно време, притискайки жертвите си да платят.
От Facebook разследват дали става дума за изолиран инцидент или измамниците провеждат кампании и през други хакнати акаунти в социалната мрежа.
За да предпазите собствените си лични данни, използвайте многофакторна автентикация навсякъде, където това е възможно.
Ransomware тормози потребителите на Windows от години. В последно време той се променя и адаптира, за да може да компрометира и Linux сървъри. А вече е регистриран криптовирус, който прескача от Windows на Linux.
Засечен е нов троянец, наречен RansomEXX, който първоначално заразява Windows система и след това я използва за вход към набелязана Linux машина. Става дума за изключително таргетирани атаки: Всяка проба от кода, която изследователи от Касперски са проучили, е съдържала името на атакуваната организация. Сред жертвите е и Konica Minolta.
RansomEXX не е непознат – той атакува Windows от лятото на 2020 г. Еволюцията на зловредния код обаче е новост: Това е може би първият случай, при който криптовирус прескача между различни операционни системи.
Ransomware е изключително печеливш бизнес. Твърди се, че операторите на Ryuk заплахи са спечелили 34 млн. USD само от една успешна атака. Kиберпрестъпната група REvil казва, че прави над 100 млн. USD годишно от платени откупи. При това положение е най-логично да очакваме, че „пазарното развитие“ на криптовирусите ще продължи.
Ефективният план за реакция в случай на Ransomware атака прави разликата между предприемането на правилни действия и изпадането в паника. Точно планът би предопределил изхода от инцидента: уловена и овладяна навреме атака или широко-разпространена инфекция, а още по-важно – бързо възстановяване от инцидент или окончателно прекратяване на бизнеса.
Липсата на подготовка е подготовка за провал
Ако превантивните мерки не са се оказали достатъчни и организацията ви е станала жертва на криптовирус, трябва да предприемете следните стъпки веднага след идентифициране на инцидента:
Изолацията на засегнатите системи трябва да се счита за основен приоритет при Ransomware атака. Една от основните функции на зловредния код е сканиране на мрежата на жертвата. След това той криптира споделените файлове и разпространява атаката по мрежата във всички системи на организацията. Поради това е необходимо заразените системи да бъдат изолирани от мрежата възможно най-скоро. Така ще бъде овладяна инфекцията и предотвратено нейното разпространяване.
Въпреки, че резервните копия играят главна роля в отстраняването и възстановяването от атаки, е важно да запомните, че те не са имунизирани срещу Ransomware. За да осуетят възстановяването, много от съвременните Ransomware щамове са насочени именно към архивите на компанията и ще се опитат да ги криптират, заменят или изтрият.
В случаите на Ransomware атака, организациите трябва да подсигурят своите резервни копия, като временно изключат хранилището от мрежата или ограничат достъпа до него, докато инфекцията не бъде овладяна. Повече информация на тази тема може да прочетете тук.
Незабавно деактивирайте зададени задачи за автоматизация и поддръжка на засегнатите системи, като временно изтриване на файлове и ротация на логове. Ако са активни, те биха могли да попречат на работата на екипите, които разследват инцидента.
Например файловите логове могат да съдържат ценна информация относно първоначалната точка на заразяване. Във временните файлове пък някои лошо програмирани варианти на Ransomeware биха могли да съхранят важна информация, като напр. ключовете за криптиране.
Има две основни причини, поради които трябва да създадете резервни копия или изображения на заразените системи, след като ги изолирате от мрежата:
Някои Ransomeware декриптори съдържат грешки, които могат да повредят данните. Например, за декриптора Ryuk, от семейство Ransomeware, беше известно, че съкращава файлове, като ефективно отрязва по един байт от всеки файл по време на декриптиращия процес. Въпреки че това не представлява съществен проблем при някои файлови формати, то при други типове – като виртуални дискове за съхранение, като VHD / VHDX, както и много от файловете с бази данни на Oracle и MySQL – важната информация бива съхранявана именно в последния байт, излагайки файловете на риск от повреда след декриптиране.
Наличието на резервно копие на заразените системи гарантира целостта на данните. Ако нещо се обърка по време на декриптиращия процес, жертвите могат да възстановят своите системи до нивото на инфекцията и отново да се опитат да повторят декриптирането. Препоръчително е да се консултирате със специалисти, за да използвате правилното решение за декриптиране.
Ако криптираните данни не са от решаващо значение за ежедневните операции на организацията ви и не е необходимо тяхното спешно възстановяване, то те трябва да бъдат архивирани и добре съхранени. Има вероятност в бъдеще те да могат да бъдат декриптирани.
Съществуват случаи, при които правоприлагащите органи улавят авторите на Ransomware атаки и използваните от тях C&C сървъри за съхранение на декриптиращи ключове. Това позволява на жертвите да възстановят данните си безплатно. В допълнение, част от Ransomware групите – Shade, TeslaCrypt, CrySis и др. – по свое желание обявиха публично своите декриптиращи ключове след прекратяване на операциите си.
Жертвите никога не трябва да премахват, изтриват, преформатират или преинсталират заразените системи, освен ако не са изрично инструктирани от специалист да го направят. Вместо това, зловредният софтуер трябва да бъде поставен под карантина. Това ще позволи на следователите да анализират инфекцията и да идентифицират точния Ransomware щам, отговорен за криптирането на файлове. Премахването на цялата инфекция преди тя да бъде анализирана би създало затруднения за специалистите в опита им да открият конкретната Ransomware проба, причинила атаката.
Ако зловредният софтуер е все още в процес, е необходимо да се направят записи на всичко протичащо в RAM паметта. По този начин ще се създаде пълен лог на всички настъпили злонамерени процеси, преди Ransomware щамът да бъде поставен под карантина. Тези записи могат да съдържат ключовия материал, използван при криптирането на файловете. Той евентуално би могъл да бъде извлечен и използван от жертвите, помагайки им да декриптират засегнатата информация, без да плащат откупа.
Идентифицирането на нулевия пациент т.е. източникът на инфекцията е от решаващо значение. Това ще даде ясна представа как нападателите са получили достъп до системата, какви други действия са предприели, докато са били в мрежата и каква е степента на заразата. Откриването на източника на инфекцията е полезно не само за разрешаване на текущия инцидент. То може да помогне на организациите да се справят с уязвимостите и да намалят риска от евентуални инциденти в бъдеще.
Идентифицирането на източника на инфекцията може да бъде изключително предизвикателство. В много случаи извършителите на атаката са били в системата седмици или дори месеци преди да внедрят изпълнимия файл на Ransomware. Препоръчва се компании, които не разполагат с нужните ресурси или опитни служители за извършване на разследване и задълбочен анализ, да обмислят възможността да се обърнат за съдействие към компании занимаващи се професионално с такава дейност.
Можете да използвате безплатни услуги за да определите от кой щам Ransomware сте били засегнати. Такива са онлайн инструмента за идентификация на Ransomware на Emsisoft или ID Ransomware,
Тези инструменти позволяват да качите информация – бележка за откуп, примерен криптиран файл, контактите на нападателя. Чрез анализ на данните може да се идентифицира кой точно е щамът на криптовируса, засегнал системата ви. Потребителите, също така, могат да бъдат насочени към безплатен инструмент, с който да декриптират информацията си, ако има наличен такъв.
Ако архивите ви са повредени и няма наличен безплатен инструмент за тяхното декриптиране, може да се изкушите да платите откуп, за да възстановите файловете си.
Това не бива да бъде решение, което трябва да се вземе с лека ръка. Плащането на откупа може да намали периода на прекъсване на бизнеса ви. Сумата му може да е по-малка като стойност в сравнение с общите разходи/загуби, които компанията ви ще направи за времето в което е била в евентуален застой поради атаката. Все пак, плащането на откуп трябва да бъде последна опция, налична само ако всички други възможности са изчерпани и има опасност загубата на данни да доведе до прекратяване на дейността завинаги.
Прочетете още: Ransomware. Да платиш или не, това е въпросът
Задължително имайте предвид следните фактори:
Неправилното обработване на Ransomware инциденти би възпрепятствало усилията за възстановяване: би изложило на риск данните ви и би довело до ненужно изплащане на откуп. По време на Ransomware атака трябва да избягвате следните грешки:
Много Ransomware щамове разпознават опитите за рестартиране на системата и наказват жертвите, като повреждат Windows инсталацията на устройството. Така системата никога повече не може да стартира, а други щамове може да започнат да изтриват на случаен принцип криптираните файлове на жертвата. Скандалният Jigsaw Ransomware, нашумял през 2016 г., произволно изтрива 1000 криптирани файла всеки път, когато заразеното устройство се рестартира.
Рестартирането би могло да затрудни и разследващите екипи. Когато системата се рестартира, самият процес изчиства паметта на машината, която, както беше отбелязано по-рано, може да съдържа улики, полезни за следователите. Вместо това, засегнатите системи трябва да бъдат поставени в хибернация, която записва всички данни от RAM паметта в референтен файл намиращ се в паметта за съхранение на устройството, позволявайки анализирането им в бъдеще.
Много Ransomware семейства са целенасочени главно към устройства за съхранение и системи за бекъп. Поради тази причина, външните устройства за съхранение и системите за архивиране не трябва да бъдат свързани (физически или чрез мрежов достъп) към заразени системи, докато не сте напълно уверени, че инфекцията е овладяна и премахната.
За съжаление, не винаги е видимо дали Ransomware все още е в системата и работи. Има много случаи, в които организациите започват процес по възстановяване, без да осъзнават, че Ransomware все още присъства в тяхната система. В резултат на това той отново криптира резервните копия и устройства за съхранение.
Въпреки плашещите факти, че временното спиране на работа би могло да доведе до потенциална загуба на репутация, организациите не трябва да плащат поискания откуп веднага. Винаги има други възможности и те трябва да бъдат проучени изцяло, преди да се прибегне до тази крайна мярка.
По време на възстановяването следва да имате предвид, че нападателите все още имат достъп до компрометираната ви мрежа. Следователно те могат да могат да прихващат всякакви съобщения, изпратени и получени по нея. Необходимо е да си осигурите защитени комуникационни канали извън обхвата на засегнатата мрежа и да забраните комуникациите в нея, докато отстраняването на нарушителите не завърши.
Не трябва да изтривате файловете от криптираните системи, освен ако специалистът по възстановяване от атаки не ви е посъветвал да го направите. Не само криптираните файлове са полезни за разследването, но и факта, че някои Ransomware семейства съхраняват ключове, използвани за криптирането им в самите тях. Ако файловете бъдат изтрити, декрипторът няма да работи.
Също така не трябва да изтривате съобщенията за искане на откуп. Някои хакери (DoppelPaymer, BitPaymer), създават съобщение за откуп за всеки файл, който криптират – точно в него се съдържа кодирания и криптиран ключ, необходим за декриптиране. Ако съобщението бъде изтрито, съответният файл няма да може да бъде възстановен.
Въпреки, че все повече се опитват да показват професионализъм, авторите на Ransomeware са престъпници. Като такива, те не се считат задължени да спазват споразумения или етичен кодекс. Не трябва да вярвате на каквато и да е информация, предоставена от групи за искане на подкуп, вкл. и на написаното в искането за откуп. Най-вече не трябва да се доверявате, че плащането на откупа ще доведе до възстановяване на криптираните данни.
Винаги използвайте сигурни услуги/инструменти за идентификация на Ransomware (Emsisoft и ID Ransomware) за идентифициране на щамовете на инфекцията. Не забравяйте, че съществува риск да не получите декриптора от нападателите след заплащане на поискания откуп. Също е възможно предоставените инструменти за декриптиране да са дефектни и/или потенциално да повредят криптираните данни.
Предприемането на проактивен подход към сигурността помогне за намаляване на риска от инцидент с Ransomware. Независимо от размера на организациите, те трябва да внедряват, прилагат и редовно тестват следните превантивни мерки:
Малко статистика по темата за защита на акаунтите може да намерите тук
Вижте и: Рекорден ръст на RDP атаките в периода на извънредното положение
Вижте още препоръки на ФБР за реакиция при откриването и отстраняването на злонамерена дейност.
Проактивният подход за предпазване от Ransomware атака може значително да помогне на организациите да намалят риска от бъдещи инциденти. Те трябва да разполагат с ефективен план за реакция в случай на инцидент. Само така ще могат да овладеят инцидента, да предотвратят загубата на данни и безопасно да инициират процеса по възстановяване.
Описаните тук насоки и практики могат да помогнат на фирми от всякакъв мащаб да смекчат въздействието на Ransomeware атака. Обърнете внимание обаче, че тези процедури трябва да се считат за общи и начални съвети. Изискванията за сигурност могат да варират значително и системите за сигурност винаги трябва да бъдат съобразени с индустрията, регулаторните изисквания и уникалните нужди на компанията.
Отчетен е 1200% ръст на кибератаките, включващи троянския кон Emotet, през второ и трето тримесечие на 2020 г. Троянецът има пръст и в увеличението на атаките с криптовирус, сочат данни на HP Inc.
Emotet е зловреден софтуер, който често се използва в хакерски кампании, за да осигури начален достъп на други групи заплахи – TrickBot и QakBot инфекции и ransomware – до мрежите на жертвите.
Emotet вероятно ще продължи да се появява в ежеседмични спам-кампании до началото на 2021 г., прогнозират анализаторите.
За някои от последните прояви на Emotet прочетете тук.
