Esettanulmány: így tesz tönkre az Emotet egy teljes IT infrastruktúrát

A Microsoft biztonsági reagáló csoportja (Detection and Response Team – DART) esettanulmányban ismerteti, hogy egy Emotet fertőzés miként tud megbénítani egy egész szervezetet, és melyek azok az intézkedések, amelyek segíthettek volna. A jelentésben a fiktív “Fabrikam” néven hivatkoznak a szervezetre, amelynek informatikai rendszereit az Emotet vírus csupán néhány nap alatt teljesen megbénította, több millió eurós kárt okozva ezzel. A Microsoft biztonsági szakértői csak egy hét után kapcsolódtak be a vizsgálatba, ekkora azonban a Windows tartomány és a hálózat már nagyrészt használhatatlan volt, és még az sem volt egyértelmű, hogy a támadók mihez szereztek hozzáférést. A megoldást végül az IT-architektúra pufferzónákkal kiegészített teljes átalakítása jelentette, így sikerült megakadályozni a rosszindulatú programok újbóli terjedését. A DART csak ezt követően tudta feltölteni az antivírus mintákat, valamint javítani a Microsoft System Center Configuration Manager alkalmazást. A későbbi elemzés során egyetlen, de sikeres adathalász e-mailt azonosítottak a behatolás kiváltójaként. A Microsoft az eset kapcsán arra kívánja felhívni a figyelmet, hogy az e-mail szűrők és a két faktoros azonosítás alkalmazásával a károk jelentős része elkerülhető lett volna. A DART első esettanulmányában leírtakhoz hasonlóan, a Microsoft a probléma lényegét a vállalkozások és szervezetek bevált gyakorlatainak hiányos megvalósításában vagy hiányában látja.