Lažna elektronska sporočila v imenu Univerze v Ljubljani
V primeru okužbe nemudoma izklopite sistem iz omrežja ter ponovno namestite operacijski sistem.
Odpri galerijo
FOTO: Amir Cohen/Reuters
Veliko podjetij, institucij in posameznikov v Sloveniji je v zadnjih dneh prejelo lažno elektronsko sporočilo, ki naj bi bilo poslano z elektronskega naslova Univerze v Ljubljani rektor@uni-lj.si. Kot so zapisali na spletni strani ljubljanske univerze, sporočilo vsebuje priponko z zlonamernim programom, zato prejemnike pozivajo, naj sporočila ne odpirajo.
»Iz prejetega zaglavja sporočila je razvidno, da gre za potvarjanje naslova pošiljatelja. Sporočilo je bilo poslano iz sistema na IP naslovu 46[.]183[.]221[.]25, ki izhaja iz naslovnega IP prostora Latvije. Omenjeni IP naslov je že na seznamih IP naslovov, iz katerih se izvajajo zlonamerne aktivnosti,« opozarjajo na univerzi.
Sporočilo je posledica okužbe z Emotet trojanskim konjem, ki po okužbi ukrade Microsoft Outlook datoteke, torej preteklo elektronsko korespondenco žrtve. Sporočilo lahko vsebuje tudi besedilo v angleškem jeziku, ki prejemnika poziva k odprtju pripetega dokumenta.
Kot so pojasnili na nacionalnem odzivnem centru za kibernetsko varnost SI-CERT, okuženo sporočilo vsebuje priložen Word dokument, v polju pošiljatelja pa je navedeno ime in priimek znane osebe, s katero ste v preteklosti že komunicirali, ter neznan elektronski naslov. Poleg omenjenih komponent vsebina sporočila lahko vsebuje tudi stavek ali dva v angleškem jeziku ter vsebino predhodne korespondence z znano osebo.
Do okužbe pride v primeru, če uporabnik v Windows sistemu odpre priloženo datoteko ter omogoči izvajanje makrov. Dokument po odprtju prikaže obvestilo, da je za ogled vsebine potrebno vklopiti možnost Omogoči vsebino (Enable Content).
Z vklopom te možnosti se omogoči izvajanje makrov, s čimer se aktivira škodljiva koda, ki iz tujega spletnega strežnika na sistem prenese in izvrši nov zlonameren program, hkrati pa z namenom zavajanja uporabnika izpiše obvestilo o napaki, pojasnjujejo na centru SI-CERT. V vseh doslej obravnavanih primerih okužbe je bila na sistem prenesena varianta virusa Emotet, ki med drugim povzroči krajo shranjenih gesel iz brskalnikov, digitalnih potrdil in drugih avtentikacijskih podatkov, namestitev keyloggerja, persistentno komunikacijo z nadzornim strežnikom napadalca, periodično generiranje posnetkov zaslona in pošiljanje le-teh na nadzorni strežnik, možnost prenosa dodatnih škodljivih programov.
Če prejmete tako sporočilo, ga posredujte v analizo na cert@cert.si, ter po potrebi obvestite administratorja vašega poštnega strežnika. »V primeru okužbe je potrebno sistem nemudoma izklopiti iz omrežja ter ponovno namestiti operacijski sistem oz. ga ponastaviti na tovarniške nastavitve. Potrebna je tudi menjava vseh gesel kot tudi preklic digitalnih potrdil, katerih zasebni ključi so bili v času okužbe dosegljivi na okuženem sistemu,« še opozarjajo na centru SI-CERT.
»Iz prejetega zaglavja sporočila je razvidno, da gre za potvarjanje naslova pošiljatelja. Sporočilo je bilo poslano iz sistema na IP naslovu 46[.]183[.]221[.]25, ki izhaja iz naslovnega IP prostora Latvije. Omenjeni IP naslov je že na seznamih IP naslovov, iz katerih se izvajajo zlonamerne aktivnosti,« opozarjajo na univerzi.
Sporočilo je posledica okužbe z Emotet trojanskim konjem, ki po okužbi ukrade Microsoft Outlook datoteke, torej preteklo elektronsko korespondenco žrtve. Sporočilo lahko vsebuje tudi besedilo v angleškem jeziku, ki prejemnika poziva k odprtju pripetega dokumenta.
Kot so pojasnili na nacionalnem odzivnem centru za kibernetsko varnost SI-CERT, okuženo sporočilo vsebuje priložen Word dokument, v polju pošiljatelja pa je navedeno ime in priimek znane osebe, s katero ste v preteklosti že komunicirali, ter neznan elektronski naslov. Poleg omenjenih komponent vsebina sporočila lahko vsebuje tudi stavek ali dva v angleškem jeziku ter vsebino predhodne korespondence z znano osebo.
Preberite tudi:
Kibernetska varnost v Sloveniji? »Srednja žalost«
»Lažje je vdreti v elektronsko pošto kot prisluškovati klicem«
Preveč žrtev kibernetskega napada prepozno poišče pomoč
Kibernetska varnost v Sloveniji? »Srednja žalost«
»Lažje je vdreti v elektronsko pošto kot prisluškovati klicem«
Preveč žrtev kibernetskega napada prepozno poišče pomoč
Kdaj pride do okužbe računalnika
Do okužbe pride v primeru, če uporabnik v Windows sistemu odpre priloženo datoteko ter omogoči izvajanje makrov. Dokument po odprtju prikaže obvestilo, da je za ogled vsebine potrebno vklopiti možnost Omogoči vsebino (Enable Content).
Z vklopom te možnosti se omogoči izvajanje makrov, s čimer se aktivira škodljiva koda, ki iz tujega spletnega strežnika na sistem prenese in izvrši nov zlonameren program, hkrati pa z namenom zavajanja uporabnika izpiše obvestilo o napaki, pojasnjujejo na centru SI-CERT. V vseh doslej obravnavanih primerih okužbe je bila na sistem prenesena varianta virusa Emotet, ki med drugim povzroči krajo shranjenih gesel iz brskalnikov, digitalnih potrdil in drugih avtentikacijskih podatkov, namestitev keyloggerja, persistentno komunikacijo z nadzornim strežnikom napadalca, periodično generiranje posnetkov zaslona in pošiljanje le-teh na nadzorni strežnik, možnost prenosa dodatnih škodljivih programov.
Kako ukrepati v primeru okužbe
Če prejmete tako sporočilo, ga posredujte v analizo na cert@cert.si, ter po potrebi obvestite administratorja vašega poštnega strežnika. »V primeru okužbe je potrebno sistem nemudoma izklopiti iz omrežja ter ponovno namestiti operacijski sistem oz. ga ponastaviti na tovarniške nastavitve. Potrebna je tudi menjava vseh gesel kot tudi preklic digitalnih potrdil, katerih zasebni ključi so bili v času okužbe dosegljivi na okuženem sistemu,« še opozarjajo na centru SI-CERT.
