| Έναρξη προβλήματος: | 14-10-2020 21:30 |
| Λήξη προβλήματος: | 06-11-2020 17:29 |
| Κατάσταση δελτίου: | Κλειστό |
| Τύπος δελτίου: | Βλάβη |
| Καταγράφων τεχνικός ΜΨΔ: | Απόστολος Παπαγιαννάκης |
| Χρόνος αποκατάστασης: | 22 ημέρες,19 ώρες, 59 λεπτά |
| Αποκατάσταση από: | ΜΨΔ - Τμήμα Υπολογιστικών Υποδομών |
| Τρέχουσα σοβαρότητα: | Σοβαρό πρόβλημα σε δευτερεύον σύστημα παραγωγής που επηρεάζει μικρή ομάδα χρηστών |
14-10-2020 22:32 - Κλείσιμο δελτίου
Τις τελευταίες ημέρες παρατηρείται ταχύτατη μετάδωση ιών μέσω παραπλανητικών emails από χρήστη σε χρήστη. Οι ιοί βρίσκονται μέσα σε μολυσμένα έγγραφα Microsoft Word τα οποία επισυνάπτονται σε παραπλανητικά emails.
Ο ιός που διακινείται μέσω της συγκεκριμένης προσπάθειας είναι πολυμορφικός, μεταλλάσσεται διαρκώς και οι αποστολές των μηνυμάτων δεν φέρουν επί του παρόντος κάποιο μοναδικό χαρακτηριστικό που να επιτρέπει τον αποκλεισμό τους από τα αντιικα συστήματα.
Για το λόγο αυτό από Τετάρτη 14/10/2020 και ώρα 21:30 αποκλείονται και δεν θα παραλαμβάνονται από τους mail servers του ΑΠΘ τα μηνύματα που φέρουν ένα επισυναπτόμενο έγγραφο σε μορφή word.
Για την απενεργοποίηση του αποκλεισμού θα ενημερωθείτε με νεότερο μήνυμα.
Οι αποστολείς των μηνυμάτων που θα απορρίπτονται θα λαμβάνουν σχετική ενημέρωση και θα γνωρίζουν ότι το μήνυμα τους δεν παραδόθηκε.
15-10-2020 09:01 - Ενημέρωση δελτίου
Σχετικά με το τρέχον περιστατικό ιού, παρατηρούμε ότι αρκετά δείγματα του ιού ανιχνεύονται πλέον από το ενσωματωμένο Antivirus των Windows. Tο φαινόμενo όμως παραμένει σε εξέλιξη και η φραγή διακινησης αρχείων Word με email δε μπορεί να σταματήσει ακόμη. Οι συνήθεις ενέργειες ενημέρωσης του αντιβιωτικού και του λειτουργικού συστήματος των Desktops είναι το προτεινόμενο μέτρο προφύλαξης. Περισσότερες πληροφορίες για το φαινόμενο υπάρχουν και στη σχετική ανακοίνωση του ΚΗΔ στη σελίδα https://it.auth.gr/el/news/2020-10-14/5095
15-10-2020 16:56 - Ενημέρωση δελτίου
Τα συστήματα antivirus στους mail servers και τα Desktops του ΑΠΘ εντοπίσζουν πλέον πολλές από τις μορφές του ιού, και φράσσουν τη διακίνηση σε χιλιάδες ιούς στο ΑΠΘ κάθε ώρα. Αυτό όμως δεν είναι ακόμα αρκετό καθώς ο ιός παρουσιάζεται διαρκώς με νέες μορφές, και διαθέτει ακόμη αρκετή μολυσματικότητα.
Κρίνεται απαραίτητο για την προστασία των χρηστών να παραταθεί τουλάχιστον μέχρι αύριο η ισχύς των ισχύοντων περιοριστικών μέτρων (φραγή *.doc, και άλλων εγγράφων που περιέχουν ενεργό κώδικα). Το ΚΗΔ θα παρακολουθεί στενά το φαινόμενο και τα προτεινόμενα μέτρα, και θα ενημερώσει αμέσως μόλις είναι ασφαλές να γίνει άρση των περιορισμών με προσεκτικά βήματα.
16-10-2020 19:58 - Ενημέρωση δελτίου
Διαπιστώνεται ακόμα ότι μηνύματα που διακινούνται με συνημμένα Microsoft Word (*.doc) και ελέγχονται από τα προγράμματα προστασίας για ιούς στον διακομιστή αλληλογραφίας ΑΠΘ κατά 80% είναι μολυσμένα. Το γεγονός αυτό καθιστά προς το παρόν αδύνατη την άρση του έκτακτου αποκλεισμού διακίνησης email με συνημμένα αρχεία Microsoft Word που είχε τεθεί για την ασφάλεια των χρηστών.
Επισημαίνονται τα παρακάτω:
Έχει παρατηρηθεί ότι σε πολλές περιπτώσεις οι παραλήπτες του μηνύματος άνοιξαν το συνημμένο doc με το κακόβουλο λογισμικό με συνέπεια να μολυνθεί ο υπολογιστής τους και να αναμεταδίδει τη μόλυνση. Επιπλέον, υπάρχουν περιπτώσεις που έχει παραβιαστεί η ασφάλεια του υπολογιστή και έχει αποσπαστεί ο κωδικός πρόσβασης του ιδρυματικού λογαριασμού με συνέπεια να αποστέλλεται ανεπιθύμητη αλληλογραφία.
Συνιστούμε τα ακόλουθα βήματα, αν δεν είστε βέβαιοι για την ασφάλεια του λογαριασμού ή του υπολογιστή σας προτείνεται:
να προχωρήσετε σε ενημέρωση του λειτουργικού συστήματος του υπολογιστή σας και κεντρικών εφαρμογών (π.χ. MS Office)
να ελέγξετε τον υπολογιστή σας με κάποιο εργαλείο απομάκρυνσης κακόβουλου λογισμικού, π.χ το Eset Online Scanner
μετά τον έλεγχο για ιούς, να αλλάξετε τον κωδικό πρόσβασης του ιδρυματικού σας λογαριασμού από την ιστοσελίδα https://accounts.auth.gr/account/password.php.
Χρήσιμες οδηγίες για την ασφάλεια του λογαριασμού και του υπολογιστή σας υπάρχουν στην ιστοσελίδα https://it.auth.gr/el/security/secPractices.
Νεώτερη ενημέρωση θα υπάρξει μόλις υπάρξει κάποια εξέλιξη.
19-10-2020 15:38 - Ενημέρωση δελτίου
Από την από Τετάρτη 14/10/2020 και ώρα 21:30 ενεργοποιήθηκε προσωρινή φραγή (καραντίνα) σε μέρος των εισερχομένων εγγράφων Microsoft Office ως "πυροσβεστικό μέτρο", προκειμένου να υπάρξει χρόνος να ενημερωθούν τα προγράμματα antivirus. Πράγματι τα antivirus βρίσκουν πλέον αρκετά δείγματα του ιού. Όμως επειδή ο ιός παρουσιάζει συνεχώς νέες μορφές (έχουν βρεθεί εκατοντάδες χιλιάδες μεταλλάξεις), πολύ συχνά δεν ανιχνεύεται καθόλου, εκτός και αν γίνει πλήρες κόψιμο συγκεκριμένων ειδών αρχείων που περιέχουν ενεργοποιήσιμο κώδικα ("μακροεντολές"). Ο ιός μετά την εγκατάστασή του εγκαθιστά πλήθος άλλων επικίνδυνων malware και μετατρέπει τους Η/Υ σε μέσο αναμετάδοσης των επιθέσεων, για την υποκλοπή κωδικών ebanking, κρυπτοϊούς κ.ο.κ.
Λόγω των παραπάνω έχει βρεθεί ότι για το συγκεκριμένο είδος απειλής πρέπει (και αρκεί) να κόβονται στους mail servers μόνο τα emails που περιέχουν αρχεία Microsoft Office παλαιού τύπου (συνήθως ".doc" format 1997-2003), τα οποία περιέχουν "μακροεντολές". Αντίθετα, τα αρχεία ".docx" από νεώτερες εφαρμογές είναι πιο ασφαλή γιατί βασίζονται σε ανοιχτά πρότυπα και δεν μπορούν να μεταδώσουν τον ιό. Επίσης το ΚΗΔ προβαίνει στην κεντρική φραγή επικοινωνίας με Η/Υ εκτός ΑΠΘ που έχουν ρόλο στη μετάδοση του ιού.
Σε κάθε περίπτωση ο χρήστης πρέπει να μην ενεργοποιεί την εκτέλεση μακροεντολών σε άγνωστα αρχεία.
Οι χρήστες αναμένεται να παραλάβουν καθυστερημένα όσα μηνύματα έχουν τεθεί σε καραντίνα από την Τετάρτη 14/10/2020.
Αν δεν είστε βέβαιοι για την ασφάλεια του λογαριασμού ή του υπολογιστή σας επαναλαμβάνουμε τις παρακάτω οδηγίες:
να προχωρήσετε άμεσα σε ενημέρωση του λειτουργικού συστήματος του υπολογιστή σας και κεντρικών εφαρμογών (π.χ. MS Office)
να ελέγξετε τον υπολογιστή σας με κάποιο εργαλείο απομάκρυνσης κακόβουλου λογισμικού, π.χ το Eset Online Scanner
μετά τον έλεγχο για ιούς, να αλλάξετε τον κωδικό πρόσβασης του ιδρυματικού σας λογαριασμού από την ιστοσελίδα https://accounts.auth.gr/account/password.php.
Χρήσιμες οδηγίες για την ασφάλεια του λογαριασμού και του υπολογιστή σας υπάρχουν στην ιστοσελίδα https://it.auth.gr/el/security/secPractices.
Σχετική βιβλιογραφία:
https://attack.mitre.org/software/S0367/
https://paste.cryptolaemus.com/emotet/2020/10/16/emotet-C2-Deltas-1505-1105_10-16-20.html
https://blog.talosintelligence.com/2020/10/threat-roundup-1009-1016.html
Νεώτερη ενημέρωση θα υπάρξει μόλις υπάρξει κάποια εξέλιξη.
20-10-2020 17:42 - Ενημέρωση δελτίου
Η υπηρεσία email λειτουργεί κανονικά και φράσει τα emails που περιέχουν τον ιό. Επίσης έχει μπλοκαριστεί η πρόσβαση από και προς εκατοντάδες θέσεις δικτύου IPs, που δεν ανήκουν στο ΑΠΘ, και οι οποίες αποτελούν μέρη δικτύου botnet που διαδίδουν τον ιό Emotet, και συντονίζουν δικτυακές επιθέσεις. Επίσης έχει μπλοκαριστεί η πρόσβαση σε PCs εντός του ΑΠΘ που φαίνεται να έχουν προσβληθεί.
Βλ. https://paste.cryptolaemus.com/emotet/2020/10/19/emotet-C2-Deltas-1330-0930_10-19-20.html
Το φαινόμενο είναι επικίνδυνο και χρειάζεται επαγρύπνηση για την προστασία των δεδομένων των χρηστών αλλά και των κεντρικών υποδομών του Ιδρύματος.
Νεώτερη ενημέρωση θα υπάρξει μόλις υπάρξει κάποια εξέλιξη.
23-10-2020 15:31 - Ενημέρωση δελτίου
Η μετάδοση ιών μέσω αρχείων *.doc με μολυσμένες "μακροεντολές" έχει διακοπεί αποτελεσματικά στους mail servers του ΑΠΘ. Ο ιός όμως συνεχίζει να μεταδίδεται με χαμηλότερο ρυθμό με emails που περιέχουν παραπλανητικά links ή με απευθείας προσβολή μέσω του τοπικού δικτύου. Για το λόγο αυτό το ΚΗΔ έχει προσωρινά φράξει την επικοινωνία με χαρακτηρισμένες πηγές και κέντρα ελέγχου ιών, τα οποία βρίσκονται εκτός ΑΠΘ (blacklisted IPs).
Η επικινδυνότητα των επιμολύνσεων με βλαβερά λογισμικά (κρυπτοϊοί κλπ) παραμένει. Αν δεν είστε βέβαιοι για την ασφάλεια του λογαριασμού ή του υπολογιστή σας προτείνεται να εφαρμόσετε όσα έχουν προαναφερθεί (ενημερώσεις λογισμικού, σάρωση ελέγχου, αλλαγή password). Μια περιγραφή των καλών πρακτικών ασφάλειας με απλά λόγια θα βρείτε στο https://it.auth.gr/el/security/secPractices.
Η κατάσταση δε θεωρείται ακόμα κανονική. Το ΚΗΔ θα συνεχίσει να επιτηρεί την κατάσταση του δικτύου.
Νεώτερη ενημέρωση θα υπάρξει μόλις υπάρξει κάποια εξέλιξη.
04-11-2020 10:46 - Ενημέρωση δελτίου
Η μεταδοτικότητα των ιών έχει περιοριστεί δραστικά χάρη σε ειδικές ενέργειες που έχουν εφαρμοστεί σε επίπεδο mail servers (ενίσχυση μέτρων antivirus και antispam ) αλλά και σε επίπεδο δικτύου (φραγή σε δίκτυα botnets).
Η κατάσταση βαίνει προς σχετική εξομάλυνση, αλλά οι οδηγίες που δόθηκαν συνεχίζουν να ισχύουν (https://it.auth.gr/el/security/secPractices).
Το ΚΗΔ θα συνεχίσει να επιτηρεί την κατάσταση του δικτύου, για την ώρα το δελτίο παραμένει ανοιχτό.
06-11-2020 17:42 - Κλείσιμο δελτίου
Η κατάσταση έχει σταθεροποιηθεί, και επί αρκετές ημέρες δε φαίνεται να υπάρχει έξαρση ιών.
Παραμένουν σε ισχύ τα επιπλέον μέτρα προστασίας των χρηστών (αυστηροποιημένο antivirus και antispam, ειδική φραγή σε δίκτυα botnets). Το ΚΗΔ συνεχίζει να αναζητά καλύτερα μέτρα antispam/antivirus/antimalware. Οι οδηγίες για την ασφαλή χρήση του διαδικτύου συνεχίζουν να ισχύουν (https://it.auth.gr/el/security/secPractices).
Το παρόν δελτίο κλείνει, αν ο κίνδυνος αναζωπυρωθεί θα υπάρξει νέο δελτίο AUTHnet.
Επεξήγηση σοβαρότητας:
Πρόβλημα που έχει ως αποτέλεσμα τη διακοπή της σύνδεσης περιορισμένου αριθμού χρηστών του δικτύου (πχ χρηστών ενός κτιρίου ή ορόφων ενός κτιρίου), ή πρόβλημα (διακοπή) σε δευτερεύουσα ηλεκτρονική υπηρεσία. Αν η επίλυση εξαρτάται από τη ΜΨΔ, διατίθενται οι απαραίτητοι ανθρώπινοι πόροι εντός του ωραρίου 08:00-16:00 για την αντιμετώπιση του προβλήματος.
