Viimasel ajal on tulnud päris palju teateid nakatumisest uue pahavaraga “Emotet”, mis näppab aadressiraamatust kontakte ning edastab kurjategijatele privaatkirjade sisu. Nakatumine toimub, nagu paljudel muudelgi juhtudel, ühe väga levinud tegevuse kaudu.
Nimelt kui avatakse võõra saadetud e-kirjas asuval lisandil klikkides Wordi dokument, siis käivitub kuri programmijupp ehk makro.
RIA CERT-EE andmetel on Eestis praegu kolmas suurem “Emoteti” leviku laine ning selle tipp saabus eile. Viirus muutub pidevalt, selle viimane versioon üritab kasutaja tähelepanu uinutada sellega, et lisab e-kirja teemareale saaja jaoks tuttava inimese või ettevõtte nime.
Viirusel on ka üsna ebameeldiv privaatsust rikkuv lisaomadus. Nimelt võtab Emotet lisaks e-posti aadressidele kasutaja postkastist ka privaatsete kirjade sisu ning edastab need teistele, kes pole antud kirja saajad või saatjad. Nii võivad lekkida ettevõtte konfidentsiaalset infot sisaldavad tekstid või inimeste isiklikud kirjad.
Viiruse saadetav e-kiri on varustatud meililisandi ja ingliskeelse tekstiga “Please confirm” või “I would like to seek your advice on this“. Mõnikord pannakse kaasa ka mõnest nakatunud arvutist lekkinud e-kirja sisu. Nakatumine toimub Windowsiga masinates peale pahavara koodi sisaldava makroga meililisandi avamist ning makro lubamist. Tavaliselt arvuti küsib, kas soovid makrode käivitamise lubada. Lisandiks, mis pahavara koodi sisaldab, on enamasti Wordi tekstidokument (.docx või .doc), mõnikord ka link nakatunud sisule.
CERT-EE soovitab viirusega mittenakatumiseks olla eriti ettevaatlik kaasasolevaid faile lahti tehes, mis nõuavad avanemiseks veel mõne lisakliki tegemist. Samuti peaks kahtlust äratama ingliskeelsed laused kirja alguses või täiesti suvalised eestikeelsed e-kirjad, millega saajal pole mingit pistmist. Kahtluse korral tuleb informeerida kirja saatjat, kui aadress tundub olevat reaalselt inimeselt. Kui fail või mõnel juhul ka kaasapandud link sai kogemata avatud, peaks pöörduma kohe oma asutuse IT-toe poole ning teavitama juhtunust CERT-EE-d (cert@cert.ee).
allikas. https://www.veebimajutus.ee/
Pahavara kolmas laine tabas Eestit – enne klikkimist kontrolli saatja aadressi!
Riigi infosüsteemi ameti monitooring ja partneritelt tulnud info näitavad, et e-kirja dokumentidesse, failidesse või linkide taha peidetud Emoteti pahavara nakatas Eestis veel suure hulga arvuteid.
RIA CERT-EE infoturbe eksperdi Joosep Sander Juhansoni sõnul sai kolmas suurem laine alguse eile. „Viimased e-kirjad, millel on Emoteti pahavaraga manus, tulevad kirja saaja või ettevõtte nime sisaldava pealkirjaga. Varasemalt oleme kokku puutunud selliste pahavara peitvate e-kirjadega, mis üritavad jätta mulje, nagu need tuleksid kolleegilt või koostööpartnerilt,“ ütles Juhanson. Ta lisas, et kui kirja saatja aadress üle kontrollida, saab libakirja võrdlemisi lihtsalt avastada.
„Samas on võimalik, et ettevõte meilikonto on kurjategijate kätte langenud. See tähendab, et e-kirjad tulevadki päris aadressilt ja tuttava töödokumendiga, kuid sellesse on lisatud ka pahavara. Igal juhul teavitame kõiki kasutajaid, kelle nakatumisest oleme teadlikud,“ lisas Juhanson. Esialgsel hinnangul tundub, et kolmandat lainet viiakse ellu varasematest lainetest saadud andmete abil.
Mis on Emotet?
Pahavaraga nakatunud arvutist varastatakse e-postkasti aadressiraamat ja saadetakse kurjategijatele. Samuti võetakse postkastist juhuslikud reaalsed meilivestlused ning robotvõrgustik edastab need uuesti nii vestluse osapooltele kui ka sadadele teistele kontaktidele, kaasas pahavara sisaldav manus või link. Lisaks seadme nakatumisest tekkinud otsestele probleemidele võib Emotetiga nakatunud ettevõte sattuda olukorda, kus tema valduses olevad isikuandmed ja meilivestlused hakkavad küberruumis kontrollimatult levima.
Emotet saab levida Windowsi operatsioonisüsteemiga arvutites ja seda levitatakse peamiselt e-kirjadele lisatud dokumentide (harvemini ka linkide) kaudu. Kirja sisu on tihti lakooniline ingliskeelne teade „Please confirm“ või „I would like to seek your advice on this“. Mõnel juhul on e-kirja sisuks varem toimunud vestlus, mis lihtsalt koos manusega uuesti saadeti.
Tegu on tüüpilise Wordi laiendiga failiga nagu .docx ja .doc, mille avamisel tuleb ette kiri, et dokumendi sisu ei ole võimalik näidata ning programm võib vajada uuendamist. Pahavara jõuab kasutaja arvutisse, kui ta teeb veel ühe kliki ja annab makrodele loa. Ingliskeelne Word küsib kasutajalt „Enable Editing“ ja „Enable Content“, eestikeelne „Luba redigeerimine“ ja„Luba sisu“. Klikkides lubamise nupule, nakatub arvuti Emoteti pahavaraga, kusjuures seadme kasutaja nakatumist ei märka. Pahavara muudab ja täiendab ennast aga pidevalt – CERT-EE on saanud teateid ka parooliga kaitstud zip-failidest, mis tegelikult sisaldavad MS Wordi faili ja Emoteti.
Kuidas end selle eest kaitsta?
Kui saate tuttavalt inimeselt või asutuselt e-kirja, millega on kaasas ootamatu manus või link, siis ärge seda avage. Eriti ettevaatlik tuleb olla, kui kaasas olev fail nõuab avamiseks veel mõne täiendava kliki tegemist. Kui saate e-kirja, mille sisuks olev vestlus ei tundu päris päevakohane, võib olla tegu pahavaraga. Kahtluse tekkimisel informeerige kirja saatjat ning kui olete faili või lingi kogemata avanud, pöörduge kohe oma asutuse IT-toe poole ning teavitage juhtunust CERT-EE-d (cert@cert.ee).
Kuna Emotet levib praegu väga aktiivselt, soovitame ettevõtetel üle vaadata ja vajadusel karmistada oma infoturbemeetmed. Oma IT-partneri ja teenusepakkujaga tuleks läbi arutada järgmised küsimused:
– milliste meetmetega tõkestatakse pahavaraliiklust ettevõtte võrkudes;
– kuidas aru saada, et andmed on varastatud;
– kuidas vältida ja tuvastada nakatumisi nende teenuste puhul, millele saavad töötajad ligi oma isiklikest seadmetest.
Soovitusi, kuidas ennast ja oma ettevõtet kaitsta, vaata ka www.itvaatlik.ee. CERT-EE pakub avalikkusele tasuta analüüsikeskkonda Cuckoo (https://cuckoo.cert.ee/), mille abil saab kontrollida pahavarakahtlusega faile.
