Varoitus1/2020
Emotet-haittaohjelmaa levitetään sähköpostitse suomalaisten organisaatioiden nimissä. Haittaohjelmahyökkäyksen tarkoituksena on varastaa organisaatioista tietoja, ja samalla hyökkäyksellä on mahdollista tunkeutua verkkoon syvemmälle ja käynnistää esimerkiksi kiristyshaittaohjelmahyökkäys. Hyökkäyskampanja on näkynyt aktiivisena 17.8.2020 alkaen.
Varoituksen kohderyhmä
Emotet-haittaohjelma on tyyliltään "infostealer", joka varastaa koneella olevia tietoja, sähköposteja, yhteystietolistoja, salasanoja, maksutietoja ja muuta koneella olevaa dataa. Haitallisen sähköpostin liitetiedostossa voi olla PDF- tai Office-dokumentti, jonka makrojen suorittaminen lataa koneelle haittaohjelman. Emotet voi myös ladata koneelle muita haittaohjelmia, kuten kiristyshaittaohjelmia. Kaikki virustorjuntaohjelmat eivät ole tunnistaneet tämänkertaista haittaohjelmamallia.
Emotet-haittaohjelma ei leviä itsenäisesti työasemasta toiseen, vaan se lähettää varastamansa tiedot komentopalvelimelle. Varastetuissa tiedoissa on usein myös sähköposteja, joiden sisältöjä haittaohjelma käyttää leviämiseen. Se väärentää uuden sähköpostin vastaukseksi jo olemassaolevaan keskusteluketjuun, jolloin väärennetty viesti näyttää uskottavalta. Väärennetyssä viestissä on haitallinen liite. Viestin otsikko ja sisältö voivat olla mitä vain, sillä ne on kopioitu oikeista viesteistä.
Päivitys 22.12.: Haittaohjelman levitysyrityksiä on havaittu uudelleen.
Päivitys 24.9.: Haitallista liitettä levitetään myös salatun zip-tiedoston sisällä sekä linkkinä murretulla verkkosivulla olevaan tiedostoon. Molempien tarkoituksena on ohittaa sähköpostipalvelimien virustutkat, koska tutkat eivät näe salatun paketin sisälle eivätkä käy katsomassa linkkien taakse. Haitallinen sisältö on edelleen makron käynnistävä Office-dokumentti.
Ratkaisu- ja rajoitusmahdollisuudet
Henkilökunnan tiedottaminen on tärkeä keino haitallisia liitteitä vastaan. Työntekijöitä on syytä ohjeistaa olemaan avaamatta epäilyttäviä liitteitä, mutta tässä tapauksessa liitteelliset viestit voivat olla hyvinkin uskottavia. Henkilökuntaa on hyvä kouluttaa tunnistamaan väärennettyjä lähettäjätietoja. Erityisesti salattujen zip-liitetiedostojen avaamisesta on tärkeää varoittaa henkilöstöä. Virustorjuntaohjelmistojen tietokannat on päivitettävä ajan tasalle ja organisaation sähköpostiliitteiden välityspolitiikkaa kannattaa kiristää tiukaksi.
- Varoittakaa organisaation henkilöstöä sähköpostin liitetiedostojen haittaohjelmauhasta. Etenkin Office-perheen makrotiedostoja käytetään haittalevitykseen (.doc, .docx, .xls, .xlsx).
- Pyrkikää kategorisesti estämään makrojen suorittaminen Office-perheen tuotteissa. "Enable content" -nappia ei kannata painaa harkitsemattomasti missään liitetiedostossa.
- Huom! Jos makroja kuitenkin on pakko käyttää, sallikaa vain organisaation itse allekirjoittamien tai luotetun tahon allekirjoittamien makrojen suorittaminen.
- Pyrkikää estämään Powershell-komentojen ajaminen peruskäyttäjien työasemilla. Jos se ei ole mahdollista, niin ainakin powershellin kutsuminen Office-makroista on syytä estää.
- Päivittäkää virustorjuntaohjelmistojen ja sähköpostisuodattimien tunnistuskannat ajan tasalle. Edistyneet antivirustuotteet osaavat tunnistaa myös epäilyttävää käytöstä: jos makrokomento kutsuu VMI-kutsujen kautta powershelliä.
- Tartuntatapausta epäillessä ulospäin suuntautuvaa liikennettä (määrä, volyymi, kohteet) kannattaa tarkkailla mahdollisen tietovuodon johdosta.
Lisätietoa
Huom! seuraa ajantasaisia tunnistetietoja täältä! Emotet-haittaohjelman tunnistetietoja päivitetään aktiivisesti Cryptolaemus-tiimin sivulle: https://paste.cryptolaemus.com/ (Ulkoinen linkki)
Twitterissä uusimpia tietoja Emotet-havainnoista jakaa Cryptolaemus-tili (Ulkoinen linkki).
IP-blokkilista, jossa on listattu komentopalvelimia:
https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt
Lisää ohjeita Emotet-haittaohjelman estämiseksi:
https://feodotracker.abuse.ch/mitigate/
Ilmoita Emotet-havainnosta
Ota yhteyttä Kyberturvallisuuskeskukseen, jos teillä on havaintoja Emotet-haittaohjelman leviämisestä tai tartunnoista. Yhteydenottoon voit käyttää Ilmoitus tietoturvaloukkauksesta (Ulkoinen linkki) -lomaketta tai lähettää sähköpostin osoitteeseen cert@traficom.fi.
Päivityshistoria
Lisätty uusia Emotet-haittaohjelman käyttämiä osoitteita ICT-ylläpidon toimenpiteiden alle.
Lisätty kaikkiin komentopalvelinosoitteisiin hakasulkeet ja korjattu Ilmoita meille -lomake oikeaan Ilmoita tietoturvaloukkauksesta -muotoon.
Lisätty uusia Emotet-haittaohjelman käyttämiä osoitteita ja tiivisteitä ICT-ylläpidon toimenpiteiden alle.
Lisätty maininta havainnoista kaikista Emotet-bottiverkon osista (Epoch 1-3)
18.11.2020 Varoitus on muutettu tilaan passiivinen, ilmoitettujen Emotet-havaintojen vähentymisen vuoksi
Päivitetty tieto Emotet-haittaohjelman levitysyritysten uusista havainnosta.