Vuodesta 2014 lähtien tietokoneita piinannut Emotet-haittaohjelma nousi taas puheenaiheeksi, kun Suomen kyberturvallisuuskeskus varoitti troijalaisesta omalla verkkosivullaan.

Emotet on ”Infostealer”-haittaohjelma, joka on erikoistunut varastamaan tietoja, kuten sähköposteja, yhteystietoja, salasanoja, maksutietoja sekä muuta dataa. Kyse on käytännössä troijalaisesta, joka avaa tien muille haitallisille operaatioille.

Loppupään käyttäjän voi olla hankalaa tunnistaa Emotetia. Ohjelma leviää käyttämällä varastamiaan sähköpostitietoja ja lähettämällä viestin jo olemassa olevaan viestiketjuun. Sähköpostien liitetiedostoina on usein pdf- tai Office-dokumentti.

F-Secure on omassa blogitekstissään antanut neuvoja siihen, miten Emotet-haittaohjelman aiheuttamaa riskiä voi pienentää. Tekstissä muistutetaan, että haittaohjelmaa muunnellaan usein, joten sen tunnistaminen voi olla pelkkien tunnisteiden avulla hyvin hankalaa tai mahdotonta. Lisäksi sen komentokanava muuntuu jatkuvasti, vaikeuttaen torjuntaa verkkotasolla.

Emotet voi aiheuttaa uhan yrityksille ja organisaatioille, sillä onnistuneen hyökkäyksen yhteydessä pahantahtoinen toimija voi käynnistää koko verkossa tapahtuvan kiristyshaittaohjelmahyökkäyksen.

Alla F-Securen antamat vinkit Emotetin torjumiseen.

Office-makrot

  • Poista Microsoft Office makrojen käyttömahdollisuus ympäristössäsi.
  • Salli ne vain niille käyttäjille, jotka välttämättä makroja tarvitsevat. Opastakaa näitä käyttäjiä, siten että sähköpostilla saapuvia makroja sisältäviä dokumentteja ei tule avata niin, että makrot suoritetaan, vaikka ne tulisivat kuinka luotetusta tahosta tai tutusta viestiketjusta.
  • Mikäli mahdollista, suodata Office-makroja sisältävät dokumenttityypit sähköpostista.

Powershell

  • Aja PowerShelliä normaalikäyttäjien työasemissa Constrained Language modessa: https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/
  • Constrained Language Moden lisäksi kontrolloi PowerShellin suorittamista Application Controllilla, Applockerilla, DeviceGuardilla eli toisin sanoen kuka, miten ja millä tavalla PowerShelliä saa suorittaa.
  • Poista käytöstä PowerShell 2.0, koska sillä voidaan kiertää yllä olevia rajoituksia.
  • Aseta PowerShelllin execution policy sallimaan vain digitaalisesti allekirjoitetut skriptit.
  • Laita PowerShellin lokitus päälle ja valvo lokia.
  • Käytä EPP/AV -tuotetta, joka osaa hyödyntää AMSI-integraatiota. Näin voidaan tarkistaa kattavammin päätelaitteessa ajettavien skriptien sisältöä haitalliselta toiminnalta.
  • Valvo jatkuvasti 24/7 PowerShellin poikkeavaa suoritusta ja reagoi poikkeamiin, tähän ovat apuna EDR/MDR -ratkaisut sekä palvelut.

Muuta tärkeää

  • Varmista että virustorjunta on ajantasainen ja konfiguroitu oikein ja että se ei ole pelkästään riippuvainen tunnisteista, vaan osaa myös torjua uhkia käyttäytymisen perusteella.
  • Huolehdi ohjelmistojen ja käyttöjärjestelmien tietoturvapäivityksistä.
  • Hyödynnä EDR/MDR -ratkaisuja ja valvo ympäristöäsi 24/7. Reagoi nopeasti poikkeamiin, sekä eristä vaarantuneet laitteet viipymättä verkosta näitä työkaluja hyödyntäen leviämisen ehkäisemiseksi.
  • Tiedota käyttäjiä akuutista riskistä liitetiedostojen avaamisessa. Käyttäjien voi olla mahdotonta tunnistaa aitoa viestiä Emotet-kalastelusta.
  • Lue ajantasaista tietoa Kyberturvallisuuskeskuksen sivuilta.