Kyberturvallisuuskeskukselta varoitus: Tätä haittaohjelmaa pitää nyt varoa Suomessa

Emotet-haittaohjelma leviää taas.

Liikenne- ja viesintävirasto Traficomin alainen Kyberturvallisuuskeskus on julkaissut varoituksen Emotet-haittaohjelmasta, jota levitetään nyt aktiivisesti Suomessa.

Emotetia on kuvailtu kehittyneeksi, itsestään leviäväksi ja modulaariseksi troijalaiseksi, jota käytetään nykyään pääasiassa muiden haittaohjelmien levittämiseen. Se väistelee virustutkia ja poistoyrityksiä, ja pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta.

Suomessa Emotet-haittaohjelmaa levitetään sähköpostitse nyt suomalaisten organisaatioiden nimissä. Haittaohjelmahyökkäyksen tarkoituksena on varastaa organisaatioista tietoja, ja samalla hyökkäyksellä on mahdollista tunkeutua verkkoon syvemmälle ja käynnistää esimerkiksi kiristyshaittaohjelmahyökkäys. Hyökkäyskampanja on näkynyt Kyberturvallisuuskeskuksen mukaan aktiivisena 17.8.2020 alkaen.

Tietoturvayhtiö Check Point kertoi viime viikolla, että helmikuussa 2020 Emotetin toiminta hidastui maailmanlaajuisesti ja lopulta taukosi, kunnes se alkoi uudelleen heinäkuussa. Emotet on käynyt tauolla ennenkin: vuonna 2019 se lopetti toimintansa kesäkuukausiksi, mutta jatkoi syyskuussa.

Emotet-haittaohjelma voi varastaa koneella olevia tietoja, sähköposteja, yhteystietolistoja, salasanoja, maksutietoja ja muuta koneella olevaa dataa. Haitallisen sähköpostin liitetiedostossa voi olla PDF- tai Office-dokumentti, jonka makrojen suorittaminen lataa koneelle haittaohjelman.

Emotet voi myös ladata koneelle muita haittaohjelmia, kuten kiristyshaittaohjelmia. Kaikki virustorjuntaohjelmat eivät ole tunnistaneet tämänkertaista haittaohjelmamallia.

Kyberturvallisuuskeskuksen mukaan Emotet-haittaohjelma ei leviä itsenäisesti työasemasta toiseen, vaan se lähettää varastamansa tiedot komentopalvelimelle.

Varastetuissa tiedoissa on usein myös sähköposteja, joiden sisältöjä haittaohjelma käyttää leviämiseen. Se väärentää uuden sähköpostin vastaukseksi jo olemassaolevaan keskusteluketjuun, jolloin väärennetty viesti näyttää uskottavalta. Väärennetyssä viestissä on haitallinen liite. Viestin otsikko ja sisältö voivat olla mitä vain, sillä ne on kopioitu oikeista viesteistä.

Suosituksenaan Kyberturvallisuuskeskus muistuttaa organisaatioita henkilökunnan tiedottamisen tärkeydestä keinona taistella haitallisia liitteitä vastaan.

”Työntekijöitä on syytä ohjeistaa olemaan avaamatta epäilyttäviä liitteitä, mutta tässä tapauksessa liitteelliset viestit voivat olla hyvinkin uskottavia. Henkilökuntaa on hyvä kouluttaa tunnistamaan väärennettyjä lähettäjätietoja. Virustorjuntaohjelmistojen tietokannat on päivitettävä ajan tasalle ja organisaation sähköpostiliitteiden välityspolitiikkaa kannattaa kiristää tiukaksi”, toteaa Kyberturvallisuuskeskus.

Lisäksi organisaatioiden tietojärjestelmien ylläpitäjiä kehotetaan pyrkimään estämään makrojen suorittaminen Office-sovelluksissa sekä rajoittamaan Powershell-komentojen ajamista peruskäyttäjien työasemilla.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla