Malware Emotet interrompe toda a rede da Microsoft superaquecendo PCs

Nova variante do Valak entra na lista mensal de malwares da Check Point pela primeira vez
emotet

Um dos malwares mais perigosos e avassaladores continua fazendo estragos pelo mundo. Na área de TI, o Emotet pode ser o equivalente ao coronavírus. O último ataque relatado pela própria Microsoft, mostra que ele derrubou uma rede inteira superaquecendo computadores.

De acordo com um relatório da equipe de detecção e resposta da Microsoft (DART), o Emotet induziu um funcionário da Microsoft a abrir um anexo de e-mail mal-intencionado. Uma série de eventos que se seguiram levaram ao desligamento de uma semana dos principais serviços da organização ao atingir um grande número de CPUs.

Malware Emotet interrompe toda a rede da Microsoft superaquecendo PCs. Como o ataque foi executado?

O malware Emotet conseguiu escapar de todos os sistemas de detecção, pois é regularmente controlado pelo servidor de comando e controle (C2C) do atacante.

Cinco dias após a extração das credenciais do funcionário pelo anexo de e-mail de phishing, a carga útil do Emotet foi entregue e executada nos PCs da Fabrikam (um alias usado para a vítima pela Microsoft em seu estudo de caso).  O incidente de cibersegurança foi divulgado pela cidade americana de Allentown, Pensilvânia, em fevereiro de 2018, da qual esperava gastar US$ 1 milhão para recuperar. 

Funcionários da Allentown disseram que o Emotet estava se auto-replicando e roubando credenciais de login de funcionários. A cidade também revelou que pagou à Microsoft uma taxa inicial de resposta de emergência de US$ 185.000 para “parar essa hemorragia”.

Logo, os agentes de malware começaram a visar mais funcionários da Fabrikam e seus contatos externos usando credenciais roubadas e mais sistemas foram afetados. O malware assumiu o controle de toda a rede, obtendo acesso à conta de administrador.

Em uma semana, o estrago foi feito

Dentro de oito dias desde que o anexo do e-mail foi aberto, toda a rede travou, apesar dos melhores esforços do departamento de TI da entidade.

Todos os PCs conectados à rede começaram a sofrer superaquecimento, congelamento, desligamentos abruptos e reinicialização devido ao Blue Screen of Death. O malware Emotet também consumiu toda a largura de banda, diminuindo a conexão com a Internet da rede.

Malware Emotet interrompe toda a rede da Microsoft superaquecendo PCs
Microsoft DART

O estudo de caso do DART menciona:

Quando a última de suas máquinas superaqueceu, a Fabrikam sabia que o problema havia oficialmente saído do controle. Queremos parar essa hemorragia. Toda a rede caiu de joelhos, incluindo a rede de câmeras de vigilância 185 devido ao malware Emotet. O Emotet consumiu a largura de banda da rede até que usá-la para qualquer coisa se tornou praticamente impossível. Mesmo os e-mails não conseguiam se esquivar, diz o relatório.

Esforços de contenção do malware emotet

Somente 8 dias após o congelamento do primeiro sistema, o DART da equipe de segurança cibernética da Microsoft foi chamado à Fabrikam. Eles controlaram o ataque de malware usando zonas de buffer que isolavam ativos com privilégios de administrador. Eles também carregaram novas assinaturas de antivírus e instalaram o Microsoft Defender ATP e o Azure ATP para se livrar completamente do malware.Malware Emotet interrompe toda a rede da Microsoft superaquecendo PCs

Como o Emotet paralisou toda a rede, a Microsoft recomenda que os usuários implantem ferramentas de filtragem de e-mail para evitar possíveis ataques de phishing e autorização multifatorial para evitar acesso ilegal ao sistema.

A Microsoft ressalta que a Fabrikam não cumpriu as práticas recomendadas porque seus filtros de e-mail não filtravam e-mails internos, o que permitia à Emotet se espalhar internamente sem causar alertas. Se tivesse feito isso, a Fabrikam poderia ter ganho um tempo valioso para proteger diretórios administrativos antes de serem atacados.

A Microsoft observa que a autenticação multifatorial pode ter retardado ou interrompido o uso de credenciais comprometidas da Emotet.