Pääset lukemaan alkuperäisen uutisen täältä.
Emotet-haittaohjelmaa levitetään sähköpostitse suomalaisten organisaatioiden nimissä. Haittaohjelmahyökkäyksen tarkoituksena on varastaa organisaatioista tietoja, ja samalla hyökkäyksellä on mahdollista tunkeutua verkkoon syvemmälle ja käynnistää esimerkiksi kiristyshaittaohjelmahyökkäys. Hyökkäyskampanja on näkynyt aktiivisena 17.8.2020 alkaen.
Varoituksen kohderyhmä
Emotet-haittaohjelma on tyyliltään ”infostealer”, joka varastaa koneella olevia tietoja, sähköposteja, yhteystietolistoja, salasanoja, maksutietoja ja muuta koneella olevaa dataa. Haitallisen sähköpostin liitetiedostossa voi olla PDF- tai Office-dokumentti, jonka makrojen suorittaminen lataa koneelle haittaohjelman. Emotet voi myös ladata koneelle muita haittaohjelmia, kuten kiristyshaittaohjelmia. Kaikki virustorjuntaohjelmat eivät ole tunnistaneet tämänkertaista haittaohjelmamallia.
Emotet-haittaohjelma ei leviä itsenäisesti työasemasta toiseen, vaan se lähettää varastamansa tiedot komentopalvelimelle. Varastetuissa tiedoissa on usein myös sähköposteja, joiden sisältöjä haittaohjelma käyttää leviämiseen. Se väärentää uuden sähköpostin vastaukseksi jo olemassaolevaan keskusteluketjuun, jolloin väärennetty viesti näyttää uskottavalta. Väärennetyssä viestissä on haitallinen liite. Viestin otsikko ja sisältö voivat olla mitä vain, sillä ne on kopioitu oikeista viesteistä.
Ratkaisu- ja rajoitusmahdollisuudet
Henkilökunnan tiedottaminen on tärkeä keino haitallisia liitteitä vastaan. Työntekijöitä on syytä ohjeistaa olemaan avaamatta epäilyttäviä liitteitä, mutta tässä tapauksessa liitteelliset viestit voivat olla hyvinkin uskottavia. Henkilökuntaa on hyvä kouluttaa tunnistamaan väärennettyjä lähettäjätietoja. Virustorjuntaohjelmistojen tietokannat on päivitettävä ajan tasalle ja organisaation sähköpostiliitteiden välityspolitiikkaa kannattaa kiristää tiukaksi.
- Varoittakaa organisaation henkilöstöä sähköpostin liitetiedostojen haittaohjelmauhasta. Etenkin Office-perheen makrotiedostoja käytetään haittalevitykseen (.doc, .docx, .xls, .xlsx).
- Pyrkikää kategorisesti estämään makrojen suorittaminen Office-perheen tuotteissa. ”Enable content” -nappia ei kannata painella harkitsemattomasti missään liitetiedostossa.
- Pyrkikää rajoittamaan Powershell-komentojen ajamista peruskäyttäjien työasemilla.
- Päivittäkää virustorjuntaohjelmistojen ja sähköpostisuodattimien tunnistuskannat ajan tasalle.
- Tartuntatapausta epäillessä ulospäin suuntautuvaa liikennettä (määrä, volyymi, kohteet) kannattaa tarkkailla mahdollisen tietovuodon johdosta.
Lisätietoa
Emotet-haittaohjelman tunnistetietoja päivitetään aktiivisesti Cryptolaemus-tiimin sivulle: https://paste.cryptolaemus.com/ (Ulkoinen linkki)
Twitterissä uusimpia tietoja Emotet-havainnoista jakaa Cryptolaemus-tili.
Lähde ja teksti: Traficom – Kyberturvallisuuskeskus
