Emotet palasi kesälomalta ja on jälleen aktiivinen – Miten pienennät riskiä ympäristössäsi?

Emotet-haittaohjelma on jälleen aktivoitunut rauhallisemman kevään ja kesän jälkeen. Vuodesta 2014 toiminut troijalainen on ollut vaihtelevasti tauolla, mutta jälleen on havaittavissa poikkeuksellisen voimakasta toimintaa. Kyberturvallisuuskeskus varoitti 18.8.2020 organisaatioita haittaohjelman poikkeuksellisen aktiivisesta leviämisestä suomalaisten organisaatioiden keskuudessa ja uhka on luokiteltu tällä hetkellä vakavaksi: https://www.kyberturvallisuuskeskus.fi/fi/emotet-haittaohjelmaa-levitetaan-aktiivisesti-suomessa

Emotet on modulaarinen troijalainen, joka asentuu ympäristöön ns. ensimmäisen vaiheen haittaohjelmana. Kun Emotet on päässyt yrityksen järjestelmiin onnistuneesti, se aktivoi joko pankkitroijalaisen, varastaa tietoja tai käynnistää kiristyshaittaohjelmahyökkäyksen. Yksinkertaisesti Emotetia voitaisiin kuvailla troijalaiseksi, jota käytetään avaamaan portit muille haitallisille operaatioille. Emotet leviää yleensä sähköpostin kautta liitetiedostojen avulla, varsinkin Microsoft Office makrojen avulla lähettäen saastuneelta kohteelta varastettuja tietoja, kuten sähköpostiviestejä ja kontakteja komentopalvelimelleen. Näitä varastettuja tietoja hyödyntäen se väärentää mm. sähköpostiviestejä liitteineen jo olemassa oleviin aitoihin keskusteluketjuihin ja kontakteihin, mikä tekee sen tunnistamisesta loppukäyttäjän näkökulmasta erittäin vaikean ja näin ollen sitä onkin hankala torjua pelkällä loppukäyttäjien koulutuksella. Emotetia muunnellaan usein, joten haittaohjelman tunnistaminen voi olla pelkkien tunnisteiden avulla mahdotonta. Samoin sen komentokanava muuntuu jatkuvasti, jolloin sen torjuminen verkkotasolla on haastavaa.

Tietojen varastamisen lisäksi Emotetilla haetaan edistyneemmän hyökkääjän toimesta jalansijaa organisaatiossa, ja tämän saavutettuaan hyökkääjä yleensä kohdistaa nopean ja samanaikaisesti koko verkossa tapahtuvan kiristyshaittaohjelmahyökkäyksen. Tämän mahdollistaa Emotetin kyky mm. murtaa salasanoja ja tämän avulla levitä laitteelta toiselle yritysverkossa mahdollisimman laajalle. Lisäksi Emotet saastumisen jälkeen voi seurata kohdistettuihin hyökkäyksiin käytettäviä edistyneempiä työkaluja ja tekniikoita, joita on vaikea havaita pelkillä perinteisillä tietoturvakontrolleilla. Emotetin avulla tiedetään myös “vuokrattavan” pääsyä jo valmiiksi saastuneisiin kohteisiin ja niihin toteutettaviin kiristyshaittaohjelmahyökkäyksiin.

F-Securen Managed Detection & Response -palveluita tuottavalla Countercept-tiimillä on tuoreita kokemuksia edistyneiden Emotet-hyökkäysten havaitsemisesta ja torjumisesta yrityksissä, joten uhka on tällä hetkellä ajankohtainen ja se on syytä ottaa vakavasti.

Muutamia vinkkejä Emotet tartunnan sekä leviämisen ehkäisemiseksi ympäristössäsi

Office makrot

• Disabloi Microsoft Office makrojen käyttömahdollisuus ympäristössäsi
• Salli vain niille käyttäjille, jotka välttämättä niitä tarvitsevat. Opastakaa näitä käyttäjiä, siten että sähköpostilla saapuvia makroja sisältäviä dokumentteja ei tule avata niin, että makrot suoritetaan, vaikka ne tulisivat kuinka luotetusta tahosta tai tutusta viestiketjusta
• Mikäli mahdollista, suodata Office makroja sisältävät dokumenttityypit sähköpostista

Powershell

• Aja PowerShelliä normaalikäyttäjien työasemissa Constrained Language modessa: https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/
• Constrained Language Moden lisäksi kontrolloi PowerShellin suorittamista Application Controllilla, Applockerilla, DeviceGuardilla eli toisinsanoen kuka, miten ja millä tavalla PowerShelliä saa suorittaa
• Disabloi PowerShell 2.0, koska sillä voidaan kiertää ylläolevia rajoituksia
• Aseta PowerShelllin execution policy sallimaan vain digitaalisesti allekirjoitetut skriptit
• Laita PowerShellin lokitus päälle ja valvo lokia
• Käytä EPP/AV tuotetta, joka osaa hyödyntää AMSI-integraatiota. mm. F-Securen tuotteet osaavat. Näin voidaan tarkistaa kattavammin päätelaitteessa ajettavien skriptien sisältöä haitalliselta toiminnalta
• Valvo jatkuvasti 24/7 PowerShellin poikkeavaa suoritusta ja reagoi poikkeamiin, tähän apuna EDR/MDR ratkaisut sekä palvelut

Muuta tärkeää

• Varmista että virustorjunta on ajantasainen ja konfiguroitu oikein ja että se ei ole pelkästään riippuvainen tunnisteista, vaan osaa myös torjua uhkia käyttäytymisen perusteella. F-Secure DeepGuard teknologia on kyvykäs tunnistamaan ja estämään haitallisia dokumentteja lataamasta lisää haittaohjelmia järjestelmään.
• Huolehdi ohjelmistojen ja käyttöjärjestelmien tietoturvapäivityksistä
• Hyödynnä EDR/MDR ratkaisuja ja valvo ympäristöäsi 24/7 sekä reagoi nopeasti poikkeamiin, sekä eristä vaarantuneet laitteet nopeasti verkosta näitä työkaluja hyödyntäen leviämisen ehkäisemiseksi
• Tiedota käyttäjiä akuutista riskistä liitetiedostojen avaamisessa. Käyttäjien voi olla mahdotonta tunnistaa aitoa viestiä Emotet-kalastelusta
• Lue ajantasaista tietoa Kyberturvallisuuskeskuksen sivuilta

Lisätiedot ja linkit:

Kyberturvallisuuskeskuksen tiedote: https://www.kyberturvallisuuskeskus.fi/fi/emotet-haittaohjelmaa-levitetaan-aktiivisesti-suomessa

Apua Emotetin havaitsemiseen ja torjumiseen palveluna: https://www.f-secure.com/fi/business/solutions/managed-detection-and-response/countercept

Lisää tietoa (englanniksi) seuraavista linkeistä ja aiemmista blogipostauksista:
https://www.f-secure.com/v-descs/trojan_w32_emotet.shtml
https://blog.f-secure.com/coronavirus-email-attacks-evolving-as-outbreak-spreads/
https://blog.f-secure.com/hunting-for-emotet/

Tuomas Miettinen,
Solution Consultant
F-Secure Countercept, Managed Detection & Response