Emotet-haittaohjelmaa levitetään nyt suomalaisten organisaatioiden nimissä sähköpostitse. Haittaohjelmahyökkäyksen ensisijainen tarkoituksena on tietojen varastaminen, mutta samalla hyökkäyksellä on mahdollista tunkeutua syvemmälle verkkoon ja käynnistää esimerkiksi kiristyshaittaohjelmahyökkäys. Tämän hetkinen hyökkäyskampanja on näkynyt aktiivisena 17.8.2020 alkaen Kyberturvallisuuskeskus tiedottaa.
Emotet-haittaohjelma on tyyliltään ”infostealer”, joka varastaa tietokoneella olevia tietoja. Haittohjelma leviää sähköpostin liitetiedostona, joka voi olla PDF- tai Office-dokumentti, jonka makrojen suorittaminen lataa tietokoneelle haittaohjelman. Emotet voi myös asentaa tietokoneella muita esimerkiksi kiristyshaittaohjelmia.
Artikkeli jatkuu
mainoksen jälkeen
Emotet ei leviä itsenäisesti työasemasta toiseen, vaan se lähettää varastamansa tiedot komentopalvelimelle. Haittaohjelma osaa käyttää varastettuja sähköposteja leviämiseen. Se voi väärentää uuden sähköpostin vastaukseksi jo olemassa olevaan viestiketjuun, milloin väärennetty viesti näyttää uskottavalta. Viestin otsikko ja sisältö on kopioitu oikeista viesteistä, joten se olla melkein mitä vaan, mutta viestin liite on haitallinen.
Kyberturvallisuuskeskus suosittaa organisaatioita muistuttamaan henkilökuntaa, ettei epäilyttäviä liitteitä saa avata. Myös virustorjuntaohjelmistojen tietokannat on syytä päivittää ajan tasalle ja kiristää sähköpostin liitetiedostojen välityspolitiikka mahdollisimman tiukaksi. Tietojärjestelmien ylläpitäjiä kehotetaan rajoittamaan Powershell-komentojen ajamista peruskäyttäjien työasemilla, sekä pyrkiä estämään Office-sovellusten makrojen suorittamista.