Από τις 14/10/2020 παρατηρήθηκε αποστολή παραπλανητικών μηνυμάτων (phishing e-mails) σε παραλήπτες εντός και εκτός εταιρείας, με συνημμένα αρχεία (.doc) ή συνδέσμους (links) που περιέχουν κακόβουλο λογισμικό. Τα μηνύματα αυτά χρησιμοποιούν ως όνομα αποστολέα (Display Name) το όνομα ενός προσώπου από το οποίο ο παραλήπτης έχει ήδη λάβει μήνυμα στο παρελθόν, ενώ δίπλα στο όνομα υπάρχει διεύθυνση αποστολέα (e-mail address) από χώρα του εξωτερικού (π.χ. .ro, .br). Έτσι, μοιάζουν λιγότερο ύποπτα και οι παραλήπτες αισθάνονται ασφαλείς, αφού θεωρούν ότι το μήνυμα προέρχεται από γνωστό τους πρόσωπο με το οποίο έχουν ήδη αλληλογραφία. Το αποτέλεσμα είναι να ανοίξουν το συνημμένο αρχείο ή να πατήσουν το σύνδεσμο (link) που υπάρχει στο σώμα του μηνύματος και ως εκ τούτου να μολυνθεί ο υπολογιστής τους με κακόβουλο λογισμικό.

Επειδή το συγκεκριμένο κακόβουλο λογισμικό μεταλλάσσεται, ενδέχεται να μη γίνει αντιληπτό από τα συστήματα προστασίας (antimalware) που διαθέτει ο παραλήπτης ενός τέτοιου μηνύματος και να μολυνθεί ο υπολογιστής του. Το κακόβουλο λογισμικό, σύμφωνα με ανακοίνωση της Εθνικής Αρχής Κυβερνοασφάλειας στις 29/10/2020 (https://csirt.cd.mil.gr/announcement/prostasia-apo-kakoboylo-logismiko-emotet), εφόσον εγκατασταθεί στον υπολογιστή του χρήστη που άνοιξε το συνημμένο αρχείο .doc ή πάτησε το συνημμένο σύνδεσμο (link), μπορεί να μετατρέψει τον Η/Υ σε μέσο αναμετάδοσης των επιθέσεων, ή μπορεί να υποκλέψει κωδικούς ή να εγκαταστήσει άλλους ιούς.

Αμέσως μετά τη διαπίστωση του ως άνω περιστατικού, ελήφθησαν από την εταιρεία μας μέτρα περιορισμού της διάδοσης παραπλανητικών μηνυμάτων με σκοπό τον αποκλεισμό της προσβολής από το κακόβουλο λογισμικό, όπως:

• εφαρμόστηκε αποκλεισμός στη διακίνηση αρχείων τύπου .doc συνημμένων σε μηνύματα e-mails, εντός και εκτός εταιρείας,
• αποκλείστηκαν συγκεκριμένοι Η/Υ που είχαν τη δυνατότητα εκτέλεσης macro εντολών,
• άλλαξαν για προληπτικούς λόγους οι κωδικοί πρόσβασης για όλους τους Η/Υ που συνδέονται στο δίκτυο δεδομένων της εταιρείας,
• εγκαταστάθηκε λογισμικό που βελτιώνει το επίπεδο προστασίας των Η/Υ από κακόβουλο λογισμικό,
• εφαρμόζεται σε καθημερινή βάση ο αποκλεισμός των ύποπτων διευθύνσεων που ανακοινώνονται ότι σχετίζονται με τη διάδοση του κακόβουλου λογισμικού.
• ενημερώθηκε τόσο η Ελληνική Αρμόδια Ομάδα Απόκρισης Κυβερνοπεριστατικών (CSIRT), όσο και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Μετά την 16/10/2020 δεν έχει παρατηρηθεί αποστολή μηνυμάτων με μεταγενέστερη ημερομηνία, γεγονός που οδηγεί στο συμπέρασμα ότι η δραστηριότητα του κακόβουλου λογισμικού έχει εμποδιστεί με τη λήψη των ανωτέρω μέτρων. Επίσης, δεν έχει παρατηρηθεί κάποια ένδειξη άλλης χρήσης των μηνυμάτων τα οποία επαναπροωθήθηκαν από το κακόβουλο λογισμικό στους ίδιους παραλήπτες.

Παρά το γεγονός ότι η διακίνηση των εν λόγω παραπλανητικών μηνυμάτων έχει περιοριστεί σημαντικά, όμως δεν έχει σταματήσει τελείως. Για το λόγο αυτό, εάν λάβετε μήνυμα που εμφανίζει στο όνομα αποστολέα γνωστό σας πρόσωπο με το οποίο έχετε ήδη αλληλογραφία στην «ΕΓΝΑΤΙΑ ΟΔΟΣ Α.Ε.», παρακαλούμε ελέγξτε με μεγάλη προσοχή τη διεύθυνση του e-mail που εμφανίζεται δίπλα στο όνομα, πριν ανοίξετε κάποιο συνημμένο αρχείο .doc ή πατήσετε σε σύνδεσμο (link) που περιέχεται στο σώμα του μηνύματος, έτσι ώστε να βεβαιωθείτε ότι πρόκειται για αυθεντικό και όχι για παραπλανητικό μήνυμα.

Επίσης, συνιστάται η ενημέρωση του λειτουργικού συστήματος του υπολογιστή σας με τις τελευταίες εκδόσεις, καθώς και ο έλεγχος του υπολογιστή σας με κάποιο εργαλείο απομάκρυνσης κακόβουλου λογισμικού, όπως και η αλλαγή των κωδικών πρόσβασής σας στον υπολογιστή και σε άλλες διαδικτυακές υπηρεσίες. Περισσότερα για την προστασία από ιούς και κυβερνοαπειλές στην ιστοσελίδα https://cyberalert.gr/.