От вируса, который распространялся в электронных письмах, пострадал Национальный центр общественного здоровья (НЦОЗ) и еще несколько ведомств, заявил директор Национального центра кибербезопасности (НЦКБ) Ритис Райнис.
Глава ведомства, ответственного за кибербезопасность, сообщил BNS, что вирус Trojan.Emotet во вторник распространился в электронных письмах в виде архива файлов с расширением zip, после открытия которого письма автоматически были разосланы нескольким адресатам.
Министерство обороны заявило, что такие ложные письма от НЦОЗ получили представители правительства, министерств, а также лица, с которыми специалисты НЦОЗ общались для проведения эпидемиологической диагностики.
«Вчера электронные письма с этим вирусом Emotet получил ряд пользователей, госучреждений, самоуправлений. В файле есть вирус, который при активации рассылает свои расширения, захватывает пораженный вирусом компьютер, завладевает перепиской, использует контактные адреса и либо дальше распространяется, либо превращает компьютер пользователя в «зомби», который получает команды с серверов command and control и, к примеру, распространяет спам», — сообщил BNS Р. Райнис.
Он также добавил, что первые письма были зафиксированы около 10 часов утра. Вредоносная программа была зашифрована и защищена паролями, поэтому ее не обнаружили антивирусные системы, а у пользователей, кроме всего прочего, создавалось впечатление, что письма с вирусом — это часть переписки с коллегами, т.е. были использованы реальные фрагменты переписки.
В присланном письме был указан и пароль, который должен был ввести сам пользователь, который открывал файл с расширением zip.
Р. Райнис подтвердил, что письма открыли «десятки, а может быть, и сотни» работников Национального центра общественного здоровья и связанных с центром адресатов, несколько самоуправление и другие ведомстве, среди которых и учреждения здравоохранения.
С помощью специалистов из Центра кибербезопасности последствия вируса устранялись со вторника, ожидается, что работа будет завершена в среду.
Он также отметил, что первоначальной целью вируса было распространения спама и заработок прибыли организаторам атак, однако затем компьютеры могли быть объединены в общую сеть botnet и таким образом использованы для более сложных кибератак.
«Вирус может прислать новые команды и нанести еще больший вред, поэтому мы рекомендуем очистку. Современные антивирусные системы обнаруживают вирус (…) Через минуту вирус может прислать новые расширения и может принять участие в каких-нибудь атаках DDoS, когда могут отключаться информационные сервисы в интернете, могут быть такие деструктивные атаки», — подчеркнул директор Центра кибербезопасности.
Он также отметил, что еще более сильная волна этого вируса была в октябре. Отследить организаторов атак специалистам сложно из-за способа распространения вируса, так как он пересылается от одного пользователя к другому, и так создаются тысячи цепочек.
НЦКБ рекомендует всем управляющим системами электронной почты уточнить свои правила и фильтры безопасности, чтобы они могли обнаруживать вирус Emotet.
Р. Райнис также утверждал, что позднее будет выясняться, может ли инцидент быть связан с кибератаками на Европейское агентство по лекарственным препаратам и на поставщиков первой вакцины от коронавируса в Европе — компании Pfizer и BioNTech, которые были осуществлены несколько недель тому назад, чтобы захватить связанные с коронавирусом данные.
«Восстановить системы электронной почты — это первоочередная задача. После ее решения можно будет искать корреляции по времени, с событиями в мире. Я бы не отметал такую вероятность», — подчеркнул он.
