18. februāris, 2021

Emotet vīruss nozadzis gandrīz 10 000 Latvijas interneta lietotāju datus

emotet

CERT.LV rīcībā ir nonākusi informācija par gandrīz 10 000 Latvijas interneta lietotāju, kuru dati ir noplūduši internetā. Dati no lietotāju datoriem nozagti Emotet vīrusa infekcijas rezultātā. Nozagtie dati satur dažādu pakalpojumu saņemšanai un tīmekļa vietņu apmeklēšanai izmantotos lietotājvārdus un paroles.

Pēc noplūdušajiem datiem identificēti konkrētu iestāžu un uzņēmumu klienti. Šīs iestādes un uzņēmumi tiks informēti par lietotājiem, kuru dati ir noplūduši, lai tie varētu brīdināt savus lietotājus par nepieciešamību veikt paroļu nomaiņu. Pateicamies iestādēm un uzņēmumiem par iesaisti inficēto lietotāju apziņošanā, un uzsveram, ka tie nav nekādā mērā iesaistīti notikušajā incidentā.

Ja saņemat paziņojumu par savas iekārtas inficēšanos ar Emotet un datu noplūdi, aicinām nekavējoties veikt datora pārbaudi ar antivīrusu, kā arī no drošas/ pārbaudītas iekārtas nomainīt visas datorā izmantotās paroles un vietnēs, kur tas iespējams, uzstādīt dubulto drošību (divu faktoru autentifikāciju), lai kibernoziedznieki nespētu pārņemt jūsu kontu, pat ja tiktu pie jūsu paroles.

Pārbaudot datoru ar antivīrusa programmatūru, Emotet vīruss datorā var netikt atrasts, jo Nīderlandes policija arestēja Emotet izplatītājus, pārņēma kontroli pār vīrusa vadības iekārtām un veica Emotet neitralizēšanas pasākumus. Taču ir zināms, ka Emotet vīruss inficētajās iekārtās lejupielādēja arī dažādas citas kaitīgās programmatūras, kuras tur joprojām atrodas un ir nepieciešams iztīrīt.

Ja saņemat brīdinājumu no izmantotās antivīrusa programmatūras vai paroļu pārvaldnieka par noplūdušu paroli, aicinām veikt paroles nomaiņu. Ja paziņojumā tiek pieminēta Emotet infekcija, tad jāpieņem, ka noplūdušas ir visas datorā izmantotās paroles, un tās visas ir jānomaina.

Jautājumi un atbildes

1) Kā saprast pielikumā atrodamo informāciju?

Ja pielikumā ir atrodami lauki “domain” un ”account”, tad šeit uzrādītā informācija ir iegūta no lietotāja interneta pārlūkā saglabātajiem kontiem un parolēm, kur “account” atbilst kontam “domain” domēnā. Šiem kontiem piederošās paroles nav mūsu rīcībā, taču ir zināms, ka tās ir nozagtas.

domain, account
cert.lv, [email protected]
cert.lv, [email protected]
cert.lv, [email protected]
cert.lv, [email protected]
cert.lv, [email protected]

Ja pielikumā ir atrodami lauki “domain” un “e-mail address”, tad šeit uzrādītā informācija ir iegūta no lietotāja e-pasta pārlukā saglabātajām parolēm, kur “e-mail address” atbilst kompromitētajam kontam un “domain” atbilst konta domēnam.

domain, email account
cert.lv, [email protected]
cert.lv, [email protected]
cert.lv, [email protected]

2) Vai ir zināms par papildus datu noplūdi, bez minētajām parolēm?

Ir zināms, ka:
1) lietotājiem, kuriem datorā bija instalēts Outlook, no tā tika nozagta daļa sarakstes;
2) Emotet izplatītāji pārdeva pieeju inficētajiem datoriem arī citām uzbrucēju grupām, t.sk. Ryuk ransomware.

3) Vai ir zināms laiks, kad šis incidents ir noticis?

Šobrīd šāda informācija nav pieejama. Latvijā Emotet vīrusa kampaņas vairākkārt tika manītas 2020. gada ietvaros un 2021.gada sākumā. Laika perioda precizēšanai aicinām sazināties ar CERT.LV.

4) No kurienes tika nozagtas paroles?

Pēc lietotāja iekārtas inficēšanās ar Emotet vīrusu – informācija (paroles, lietotājvārdi) tika izgūta no interneta pārlūkiem (Google Chrome, Mozilla Firefox u.c.) un e-pasta pārlūkiem (Outlook, Thunderbird u.c.).

5) Vai ir notikusi datu noplūde?

Tā nav pakalpojumu sniedzēju datu noplūde, bet nozagtas paroles no individuālu lietotāju iekārtām, kas tikušas inficētas ar Emotet vīrusu.

6) Kā tika izvēlēti saņēmēji, kuriem tika nosūtīti informatīvi e-pasti?

E-pasti tika nosūtīti domēnu īpašniekiem, domēnu īpašnieki tika noteikti:
1) valsts un pašvaldību iestādēm – izmantojot CERT.LV datubāzi;
2) izmantojot domēna whois;
3) izmantojot IP adreses whois.

7) Kā tika iegūta datubāze ar skartajiem lietotājiem?

Informāciju par inficētajiem lietotājiem un nozagtajiem datiem CERT.LV saņēma no Nīderlandes drošības iestādēm, kas datus ieguva, starptautiskā operācijā veiksmīgi pārņemot vīrusa Emotet izplatīšanai un kontrolei izmantotos serverus. CERT.LV saņemtā informācija nesatur kontu paroles, tikai lietotājvārdus un domēnus, ar kuriem šie lietotājvārdi saistīti.

8) Vai CERT.LV informē tikai pakalpojumu sniedzējus vai informēti tiek arī lietotāji, kuru dati ir nozagti?

CERT.LV nav iespējas identificēt katru konkrēto lietotāju, to var izdarīt tikai pakalpojumu sniedzēji. Pakalpojumu sniedzējiem tiek nosūtīta informācija par cietušajiem klientiem un darbiniekiem, aicinot informēt šos lietotājus par nepieciešamību veikt paroļu nomaiņu.

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.

Spiediet šeit, lai atstātu komentāru

Vieta komentāram


Piedāvātais serviss ietver diskusijas un komentārus, kas atļauj mijiedarboties lietotājiem. Vietnes autors nekontrolē ziņojumus, informāciju un failus, kas tiek piegādāti ziņojumu dēlim. Lietojot šo servisu Jūs piekrītiet sekojošiem noteikumiem:

  • Jūs nedrīkstat traucēt citus lietotājus, saskaņā ar LR civillikumu.
  • Aizliegts nosūtīt, publicēt jebkāda veida nelikumīgu, draudošu, aizskarošu, apmelojošu, neslavu ceļošu, neķītru, vulgāru, pornogrāfisku, zaimojošu un piedauzīga rakstura informāciju t.s. bildes.
  • Jūs nedrīkstiet nosūtīt, publicēt informāciju, programmas vai jebkāda veida materiālus, kas aizsargāti ar LR likumu par autortiesībām.
  • Aizliegts nosūtīt, publicēt datus, kas var saturēt datorvīrusus vai arī datus, kas var saturēt kaitīgas komponentes.
  • Jūs nedrīkstiet nosūtīt, publicēt materiālus, kuriem ir komerciāls raksturs, ja tā nav iepriekš saskaņota ar vietnes autoru.
  • Vietnes autors neatbild par rakstu komentāru saturu un aicina lasītājus būt tolerantiem, iztikt bez rupjībām un saglabāt elementāras pieklājības normas.
  • Vietnes komentāros ir aizliegta jebkāda veida politiskā reklāma un aģitācija. Šī noteikuma neievērošanas gadījumā var tikt liegta iespēja pievienot komentāru uz nenoteiktu laiku.

Noteikumu neievērošanas gadījumā:

  • Bloga autors patur tiesības dzēst lasītāja komentārus un liegt pieeju blogam, kā arī bloga autors patur tiesības izmantot komentāru saturu pēc saviem ieskatiem.

Ja netiek ievēroti augstāk minētie lietotāju noteikumi, tiek uzskatīts, ka ir pārkāptas autora tiesības un atkarībā no pārkāpuma rakstura vai sekām pārkāpējs saucams pie likumā noteiktās administratīvās vai kriminālās atbildības.

lvLatviešu valoda