Det skadliga programmet Emotet sprids via e-post i finländska organisationers namn. Syftet med angreppet är att stjäla information av organisationer, och samma angrepp ger möjlighet att göra ett djupare intrång i nätet och starta till exempel ett utpressningsprogram. Angreppskampanjen har varit aktiv fr.o.m. den 17 augusti 2020.
Målgrupp för varningen
Emotet är ett skadligt program av typen ”infostealer” som stjäl information, e-post, kontaktlistor, lösenord, betalningsuppgifter och övriga data på en dator. Som bilaga till ett skadligt e-postmeddelande kan vara till exempel ett pdf- eller Office-dokument med makron som kör ett skadligt program på datorn. Emotet kan också ladda ned andra skadliga program, t.ex. utpressningsprogram. Alla antivirusprogram har inte identifierat den aktuella typen av skadligt program.
Emotet sprider sig inte självständigt från en arbetsstation till en annan utan skickar stulen information till en kommandoserver. Stulen information omfattar ofta även e-post vars innehåll det skadliga programmet använder för att sprida sig. Det förfalskar ett nytt e-postmeddelande som svar till existerande diskussion, och då verkar det förfalskade meddelandet vara ett trovärdigt meddelande. Det förfalskade meddelandet innehåller en skadlig bilaga. Meddelandets rubrik och innehåll kan komma varifrån som helst då de är kopierade från äkta meddelanden.
Åtgärds- och begränsningsmöjligheter
Det är viktigt att informera personalen med tanke på skadliga bilagor. Medarbetarna ska anvisas att låta bli att öppna misstänkta bilagor, men i detta fall kan meddelanden med bilagor vara mycket trovärdiga. Personalen bör utbildas så att de kan känna igen förfalskade avsändaruppgifter. Databaser för antivirusprogram ska uppdateras och organisationens policy för förmedling av e-postbilagor ska skärpas.
- Varna personalen för hotet om skadliga program i e-postbilagor. För spridningen används speciellt Office-familjens makrofiler (.doc, .docx, .xls, .xlsx).
- Försök kategoriskt förhindra körning av makron i Office-produkterna. Klicka inte på "Enable content" utan övervägande för någon bilaga.
- Försök begränsa körning av Powershell-kommandon på användarnas arbetsstationer.
- Uppdatera identifieringsbaser för antivirusprogram och e-postfilter.
- Vid misstänkt infektion lönar det sig att kontrollera utgående trafik (antal, volym, mottagare) för ett eventuellt dataläckage.
Mer information
Identifieringsuppgifter om det skadliga programmet Emotet uppdateras aktivt på Cryptolaemus-teamets sidor: https://paste.cryptolaemus.com/ (Extern länk)
Senaste nytt om Emotet på Twitter delas av kontot Cryptolaemus (Extern länk).
ANMÄL OBSERVATIONER AV EMOTET
Kontakta Cybersäkerhetscentret om du har observerat att Emotet spridit sig eller infekterat datorer. Använd blanketten Anmäl till oss (Extern länk) eller skicka e-post till cert@traficom.fi.