A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) szerdán adott ki riasztást az Emotet malware fertőzéseivel kapcsolatos vizsgálata alapján, ahol több hazai egészségügyi intézmény infrastruktúrájának érintettsége is felmerült. Az NKI közleménye szerint az Emotet egy fejlett, moduláris banki trójai, ami nem csak napjaink legköltségesebb és legpusztítóbb kártevői közé tartozik, de a pénzügyi szektoron túl már kormányzati- és magánszektort egyaránt céloz.

Alapképességeit tekintve az Emotet elsősorban banki adatok lopására specializálódott, újabb változatai azonban a különböző letölthető modulok révén sok más káros tevékenységre is alkalmasak, mint például személyes adatok ellopására vagy zsarolóvírusok telepítésére. Az NKI a nemzetközi szakmai sajtóban és fórumokon megjelenő, illetve a partnerszolgálatoktól származó információk alapján most különböző intézkedések megtételét javasolja.

Ilyen lenne a határvédelmi rendszer szoftverének frissítése vagy a felhasználók tudatosságának növelése, különös tekintettel a jelen kampányban használt levelekkel kapcsolatos tudnivalókra. A rosszindulatú emaileket ezúttal az Állami Egészségügyi Ellátó Központ vagy a Szabolcs-Szatmár-Bereg Megyei Kórházak és Egyetemi Oktatókórház nevében küldik ki, a tárgyában és a csatolmányokban pedig jellemzően a COVID-19 járvánnyal kapcsolatos teendőkre hivatkoznak.

Komoly kockázatok az egészségügyi intézményekben

A levéltörzsben valódinak tűnő, korábbi levelezésre való hivatkozással próbálják meg elérni a csatolmány megnyitását, amelyek esetenként több különböző formátumban is megjelennek. A levelek aláírásmezőjének tartalma az NKI figyelmeztetése szerint teljesen valósághű. Az intézet a gyanús hivatkozások megnyitásával felmerülő tendők mellett olyan általános kockázatcsökkentő javaslatokat is megfogalmaz, amelyekkel elejét lehet venni a malware terjedésének.

Itt is első helyen szerepel a felhasználók rendszeres képzése és tudatosítása, kiemelve a gyanúsnak ítélt emailek felfedezésével járó kötelezettségeket vagy a csatolmányokban dokumentumoknak álcázott futtatható állományok felismerését. A javaslatok között van az aktív tartalmak és makrók központi kezelésének beállítása, a távoli hozzáférési lehetőségek és a nyitott portok felülvizsgálata, ezen felül a rendszeres offline biztonsági mentések bevezetése is.

Ahogy arról mi is rendszeresen beszámolunk, a tömeges távmunka, az erőltetett digitalizáció és az általános bizonytalanság mind a kiberbűnözők kezére játszik. Ez a fenti összefüggésben egyrészt azt jelenti, hogy a támadók a fertőzéstől való félelmet vagy a kíváncsiságot kihasználó leveleket küldözgetnek a felhasználóknak, ahogy arra már a koronavirus.gov.hu oldal is figyelmeztetett, másrészt a támadók az új helyzetben még jobban rászállnak az egészségügyi dolgozókra.

Ők normális esetben is kiemelt célpontnak számítanak az érzékeny adatokhoz való hozzáférésük miatt, és ebben a tekinetben a saját szervezetükön belül sem mindig kapnak megfelelő támogatást. Hogy a malware-fertőzéseknek akár emberi áldozatai lehetnek, nemrég mutatta meg egy német kórház elleni zsarolóvírus-támadás, amelynek következtében egy sürgős beavatkozásra szoruló beteget egy távolabb fekvő intézménybe lettek volna kényetlenek átszállítani.