В ходе одной из вредоносных кампаний ПО Emotet отключило компьютерную сеть одной из неназванных организаций. Как сообщила Microsoft, сбой в работе был вызван увеличением максимальной нагрузки на ЦП устройствах под управлением Windows и отключением интернет-соединений.
«Вредонос избегал обнаружения антивирусными решениями благодаря регулярным обновлениям от C&C-сервера, контролируемого злоумышленниками, и распространялся по системам, вызывая перебои в работе сети и отключая основные службы на протяжении почти недели», — сообщила компания Microsoft.
Причиной компрометации стал один из сотрудников организации, который открыл фишинговое письмо с вредоносным вложением, тем самым передав учетные данные злоумышленникам. Через пять дней Emotet был загружен и запущен на системах организации. Вредоносная программа незаметно распространялась по сети, похищала учетные данные администраторов и аутентифицировалась на новых системах, которые впоследствии использовались для взлома других устройств.
Несмотря на усилия команды IT-специалистов организации, за 8 дней вся сеть вышла из строя из-за перегрева, зависаний и перезагрузок компьютеров, а также из-за замедления интернет-соединений.
Команда специалистов из Microsoft смогла остановить распространение заражения с помощью элементов управления ресурсами и буферных зон, предназначенных для изоляции активов с правами администратора. В конечном итоге она смогла полностью устранить Emotet после загрузки новых сигнатур антивируса и развертывания специальных решений для обнаружения и удаления вредоносных программ.
Microsoft рекомендует использовать инструменты фильтрации электронной почты, чтобы автоматически обнаруживать и останавливать фишинговые электронные письма, распространяющие инфекцию Emotet, а также использовать многофакторную аутентификацию, мешая злоумышленникам воспользоваться украденными учетными данными.