Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa

Emotet-haittaohjelma on tyyliltään "infostealer", joka varastaa koneella olevia tietoja, sähköposteja, yhteystietolistoja, salasanoja, maksutietoja ja muuta koneella olevaa dataa. Haitallisen sähköpostin liitetiedostossa voi olla PDF- tai Office-dokumentti, jonka makrojen suorittaminen lataa koneelle haittaohjelman. Emotet voi myös ladata koneelle muita haittaohjelmia, kuten kiristyshaittaohjelmia. Kaikki virustorjuntaohjelmat eivät ole tunnistaneet tämänkertaista haittaohjelmamallia. 

Emotet-haittaohjelma ei leviä itsenäisesti työasemasta toiseen, vaan se lähettää varastamansa tiedot komentopalvelimelle. Varastetuissa tiedoissa on usein myös sähköposteja, joiden sisältöjä haittaohjelma käyttää leviämiseen. Se väärentää uuden sähköpostin vastaukseksi jo olemassaolevaan keskusteluketjuun, jolloin väärennetty viesti näyttää uskottavalta. Väärennetyssä viestissä on haitallinen liite. Viestin otsikko ja sisältö voivat olla mitä vain, sillä ne on kopioitu oikeista viesteistä. 

Päivitys 22.12.: Haittaohjelman levitysyrityksiä on havaittu uudelleen. 

Päivitys 24.9.: Haitallista liitettä levitetään myös salatun zip-tiedoston sisällä sekä linkkinä murretulla verkkosivulla olevaan tiedostoon. Molempien tarkoituksena on ohittaa sähköpostipalvelimien virustutkat, koska tutkat eivät näe salatun paketin sisälle eivätkä käy katsomassa linkkien taakse. Haitallinen sisältö on edelleen makron käynnistävä Office-dokumentti.  

Henkilökunnan tiedottaminen on tärkeä keino haitallisia liitteitä vastaan. Työntekijöitä on syytä ohjeistaa olemaan avaamatta epäilyttäviä liitteitä, mutta tässä tapauksessa liitteelliset viestit voivat olla hyvinkin uskottavia. Henkilökuntaa on hyvä kouluttaa tunnistamaan väärennettyjä lähettäjätietoja. Erityisesti salattujen zip-liitetiedostojen avaamisesta on tärkeää varoittaa henkilöstöä. Virustorjuntaohjelmistojen tietokannat on päivitettävä ajan tasalle ja organisaation sähköpostiliitteiden välityspolitiikkaa kannattaa kiristää tiukaksi.  

1. Varoittakaa organisaation henkilöstöä sähköpostin liitetiedostojen haittaohjelmauhasta. Etenkin Office-perheen makrotiedostoja käytetään haittalevitykseen (.doc, .docx, .xls, .xlsx).
2. Pyrkikää kategorisesti estämään makrojen suorittaminen Office-perheen tuotteissa. "Enable content" -nappia ei kannata painaa harkitsemattomasti missään liitetiedostossa. 
   1. Huom! Jos makroja kuitenkin on pakko käyttää, sallikaa vain organisaation itse allekirjoittamien tai luotetun tahon allekirjoittamien makrojen suorittaminen. 
3. Pyrkikää estämään Powershell-komentojen ajaminen peruskäyttäjien työasemilla. Jos se ei ole mahdollista, niin ainakin powershellin kutsuminen Office-makroista on syytä estää.
4. Päivittäkää virustorjuntaohjelmistojen ja sähköpostisuodattimien tunnistuskannat ajan tasalle. Edistyneet antivirustuotteet osaavat tunnistaa myös epäilyttävää käytöstä: jos makrokomento kutsuu VMI-kutsujen kautta powershelliä. 
5. Tartuntatapausta epäillessä ulospäin suuntautuvaa liikennettä (määrä, volyymi, kohteet) kannattaa tarkkailla mahdollisen tietovuodon johdosta.

Huom! seuraa ajantasaisia tunnistetietoja täältä! Emotet-haittaohjelman tunnistetietoja päivitetään aktiivisesti Cryptolaemus-tiimin sivulle: https://paste.cryptolaemus.com/ (Ulkoinen linkki)

Twitterissä uusimpia tietoja Emotet-havainnoista jakaa Cryptolaemus-tili (Ulkoinen linkki).

IP-blokkilista, jossa on listattu komentopalvelimia: 
https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt

Lisää ohjeita Emotet-haittaohjelman estämiseksi: 
https://feodotracker.abuse.ch/mitigate/