SC SIEM выявляет трафик к серверам ботнета Heodo Emotet

Security Capsule SIEM расширила арсенал средств обнаружения угроз: система научилась выявлять признаки активности ботнета Heodo (Emotet) — опасной вредоносной сети, связанной с кражей данных, шифровальщиками и атаками на инфраструктуру.

Что такое Heodo/Emotet?
Это не просто зловред. Это целая экосистема, способная:

• управляться через C&C-серверы,
• загружать дополнительные модули,
• красть пароли,
• регистрировать нажатия клавиш,
• блокировать устройства с требованием выкупа,
• использовать зараженные ПК для DDoS-атак.

В SC SIEM реализован набор правил корреляции, отслеживающий попытки связи с известными управляющими серверами ботнета. Это позволяет:

• зафиксировать попытку заражения на ранней стадии,
• быстро локализовать инцидент,
• предотвратить масштабное заражение корпоративной сети.

Гибкость в работе с угрозой:

Базовый набор правил дополняется под нужды конкретной организации, включая новые IoC и техники противодействия. Это особенно важно в условиях, когда Heodo постоянно мутирует и использует разнообразные тактики уклонения.

Поддержка Threat Intelligence и соответствие методологии Mitre ATT&CK усиливают эффективность обнаружения и ускоряют реакцию команды ИБ.