يعد motet أحد البرامج الضارة سيئة السمعة التي تسبب الخراب عبر الصناعات من خلال أنظمة القرصنة. في هذا الهجوم الأخير ، أسقطت شبكة كاملة من Microsoft من خلال ارتفاع درجة حرارة أجهزة الكمبيوتر.
وفقًا لتقرير صادر عن Microsoft Detection and Response Team (DART) ، خدعت Emotet أحد موظفي Microsoft لفتح مرفق بريد إلكتروني ضار. أدت سلسلة من الأحداث التي تلت ذلك إلى إغلاق الخدمات الأساسية للمؤسسة لمدة أسبوع عن طريق زيادة وحدات المعالجة المركزية.
كيف تم تنفيذ الهجوم؟
تمكنت البرامج الضارة Emotet من التهرب من جميع أنظمة الكشف حيث يتم التحكم فيها بانتظام من خلال خادم الأوامر والتحكم (C2C) للمهاجم.
بعد خمسة أيام من استخراج بيانات اعتماد الموظف من خلال مرفق البريد الإلكتروني للتصيد الاحتيالي ، تم تسليم حمولة Emotet وتنفيذها على أجهزة الكمبيوتر Fabrikam (وهو اسم مستعار تستخدمه الضحية من قبل Microsoft في دراسة الحالة الخاصة بها).
سرعان ما بدأ ممثلو البرامج الضارة في استهداف المزيد من موظفي Fabrikam وجهات الاتصال الخارجية باستخدام أوراق الاعتماد المسروقة وتأثرت المزيد من الأنظمة. تولت البرامج الضارة السيطرة على الشبكة بالكامل من خلال الوصول إلى حساب المشرف.
في غضون 8 أيام منذ فتح مرفق البريد الإلكتروني لأول مرة ، تعطلت الشبكة بالكامل على الرغم من أفضل الجهود من قسم تكنولوجيا المعلومات في الكيان.
بدأت جميع أجهزة الكمبيوتر المتصلة بالشبكة تعاني من ارتفاع درجة الحرارة ، والتجميد ، والإغلاق المفاجئ ، وإعادة التشغيل بسبب شاشة الموت الزرقاء. كما تسببت برامج Emotet الخبيثة في تعطيل عرض النطاق الترددي بالكامل مما أدى إلى إبطاء اتصال الإنترنت بالشبكة.
تشير دراسة حالة DART إلى: "عندما ارتفعت درجة حرارة آخر أجهزتهم ، عرف Fabrikam أن المشكلة خرجت عن نطاق السيطرة رسميًا. نريد وقف هذا النزيف ".
تم إسقاط الشبكة بأكملها على ركبتيها بما في ذلك شبكة كاميرات المراقبة 185 بسبب برامج Emotet الضارة.
"استهلكت Emotet النطاق الترددي للشبكة حتى أصبح استخدامها لأي شيء أصبح مستحيلًا عمليًا. "حتى رسائل البريد الإلكتروني لا يمكن التملص منها" ، يقرأ التقرير.
جهود الاحتواء
بعد ثمانية أيام من تجميد النظام الأول ، تم استدعاء DART فريق الأمن السيبراني لشركة Microsoft إلى Fabrikam. سيطروا على هجوم البرمجيات الخبيثة باستخدام المناطق العازلة التي عزلت الأصول بامتيازات المشرف. كما قاموا بتحميل توقيعات جديدة لمكافحة الفيروسات وتثبيت Microsoft Defender ATP و Azure ATP للتخلص من البرامج الضارة تمامًا.
نظرًا لأن Emotet أصابت شبكتها الخاصة بالشلل ، توصي Microsoft المستخدمين بنشر أدوات تصفية البريد الإلكتروني لتجنب هجمات التصيد الاحتيالي والتفويض متعدد العوامل للتهرب من الوصول غير القانوني إلى النظام.
