Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa

Tunnisteet: haittaohjelma

Emotet-haittaohjelmaa levitetään sähköpostitse suomalaisten organisaatioiden nimissä. Haittaohjelmahyökkäyksen tarkoituksena on varastaa organisaatioista tietoja, ja samalla hyökkäyksellä on mahdollista tunkeutua verkkoon syvemmälle ja käynnistää esimerkiksi kiristyshaittaohjelmahyökkäys. Hyökkäyskampanja on näkynyt aktiivisena 17.8.2020 alkaen.

Varoituksen kohderyhmä

Emotet-haittaohjelma on tyyliltään "infostealer", joka varastaa koneella olevia tietoja, sähköposteja, yhteystietolistoja, salasanoja, maksutietoja ja muuta koneella olevaa dataa. Haitallisen sähköpostin liitetiedostossa voi olla PDF- tai Office-dokumentti, jonka makrojen suorittaminen lataa koneelle haittaohjelman. Emotet voi myös ladata koneelle muita haittaohjelmia, kuten kiristyshaittaohjelmia. Kaikki virustorjuntaohjelmat eivät ole tunnistaneet tämänkertaista haittaohjelmamallia. 

Emotet-haittaohjelma ei leviä itsenäisesti työasemasta toiseen, vaan se lähettää varastamansa tiedot komentopalvelimelle. Varastetuissa tiedoissa on usein myös sähköposteja, joiden sisältöjä haittaohjelma käyttää leviämiseen. Se väärentää uuden sähköpostin vastaukseksi jo olemassaolevaan keskusteluketjuun, jolloin väärennetty viesti näyttää uskottavalta. Väärennetyssä viestissä on haitallinen liite. Viestin otsikko ja sisältö voivat olla mitä vain, sillä ne on kopioitu oikeista viesteistä. 

Ratkaisu- ja rajoitusmahdollisuudet

Henkilökunnan tiedottaminen on tärkeä keino haitallisia liitteitä vastaan. Työntekijöitä on syytä ohjeistaa olemaan avaamatta epäilyttäviä liitteitä, mutta tässä tapauksessa liitteelliset viestit voivat olla hyvinkin uskottavia. Henkilökuntaa on hyvä kouluttaa tunnistamaan väärennettyjä lähettäjätietoja. Virustorjuntaohjelmistojen tietokannat on päivitettävä ajan tasalle ja organisaation sähköpostiliitteiden välityspolitiikkaa kannattaa kiristää tiukaksi.  

  1. Varoittakaa organisaation henkilöstöä sähköpostin liitetiedostojen haittaohjelmauhasta. Etenkin Office-perheen makrotiedostoja käytetään haittalevitykseen (.doc, .docx, .xls, .xlsx).
  2. Pyrkikää kategorisesti estämään makrojen suorittaminen Office-perheen tuotteissa. "Enable content" -nappia ei kannata painella harkitsemattomasti missään liitetiedostossa. 
  3. Pyrkikää rajoittamaan Powershell-komentojen ajamista peruskäyttäjien työasemilla.
  4. Päivittäkää virustorjuntaohjelmistojen ja sähköpostisuodattimien tunnistuskannat ajan tasalle. 
  5. Tartuntatapausta epäillessä ulospäin suuntautuvaa liikennettä (määrä, volyymi, kohteet) kannattaa tarkkailla mahdollisen tietovuodon johdosta.

Lisätietoa

Emotet-haittaohjelman tunnistetietoja päivitetään aktiivisesti Cryptolaemus-tiimin

sivulle: https://paste.cryptolaemus.com/

Twitterissä uusimpia tietoja Emotet-havainnoista jakaa Cryptolaemus-tili .

Organisaation ICT-ylläpidon toimenpiteitä

Haittaohjelman ensimmäinen vaihe käynnistyy Word-sovelluksesta makrojen
ja Powershell-kutsujen kautta, ja tämän jälkeen ohjelma pyrkii hakemaan
lisää haitallista koodia ulkoisista osoitteista. Tähän kampanjaan
liittyvien tiedostojen tiivisteitä (sha256) ja latausosoitteita on alla.

  • 010ef50b4b0236ca18a36df373afd127e454d4873f5712146c08bb21c7b62bb9
  • a1ef5a3d0e75c6dff536064d31bf17a787b68e93faa74f5888c3dec5339621b3
  • 280f84bcea1a77966bc0ab76c35fab2642244aadb483c22f8645a4609dffb4c2
  • b04412dee30505cce88dbe7c0207099ffdc858c398375555809de45ee262a7b4
  • 26065af666cef99dca8be88b00619351f88a104fa5133f0aff0eb97491e38903
  • efd29571e9498866f54397e72795c69984836269c358f934763dbfe1f35c26f0
  • 0e61dc8a97f69816dd246fb9e57331622e4e76c59ea2668591d06c0c5c33576b
  • hxxp://quasi-monkey[.]com/6u1alr/jmu_etfp_04jtkjifle/
  • hxxps://www.queenyconnection[.]com/-08-16-2020_new/3syo2_x_w/
  • hxxp://xsdhly[.]com/a/ofq_4p_uxpjw862i/
  • hxxp://jkssoftsolutions[.]com/parkift/c_d_oxim1b19/
  • hxxp://niam.grapple-staging.co[.]uk/wp-content/uploads/s_s8p5_vs3fb/
  • hxxp://muliarental[.]com/f9u8w-mrs-88/VWVA/
  • hxxps://dev.dosily[.]in/wp-content/qyY/
  • hxxp://behnasan[.]com/wp-content/uZRqx/
  • hxxp://www.leframe[.]com/zcMv/tATDYnJy/
  • hxxp://runderfulthailand[.]com/jkats/LvJDvtg8270/
  • hxxp://easma[.]cn/wp-admin/yy/
  • hxxps://adhd.org[.]sa/sub_mrs/Zj0ZrG/
  • hxxp://avanwilligen[.]nl/vo/tUbJ/
  • hxxp://archmedia.com[.]br/Blog/sVey/
  • hxxp://bhar.com[.]br/caurina/tE/
  • hxxp://radiacaoweb.com[.]br/ZxOf1E/
  • hxxp://ceyhunhurcan[.]com/revolution-addons/mRXi8NJ/

Jos lataus ja ladatun tiedoston käynnistys uhrilaitteella onnistuu,
alkaa uhrilaite kommunikoida komentopalvelimelle. Tässä ketjussa on
havaittu käytettävän alla olevaa osoitetta:

  • 75.139.38[.]211
  • 112.78.142[.]170
  • 64.183.73[.]122

Muita kampanjaan todennäköisesti liittyviä komentopalvelinosoitteita:

  • 68.44.137[.]144:443
  • 69.30.203[.]214:8080
  • 67.205.85[.]243:8080
  • 85.66.181[.]138:80
  • 74.208.45[.]104:8080
  • 109.116.214[.]124:443
  • 95.179.229[.]244:8080
  • 24.137.76[.]62:80
  • 95.213.236[.]64:8080
  • 113.160.130[.]116:8443
  • 47.146.117[.]214:80
  • 24.233.112[.]152:80
  • 87.106.139[.]101:8080
  • 89.186.91[.]200:443
  • 91.211.88[.]52:7080
  • 200.41.121[.]90:80
  • 107.185.211[.]16:80
  • 104.131.11[.]150:443
  • 5.39.91[.]110:7080
  • 62.138.26[.]28:8080
  • 139.59.60[.]244:8080
  • 168.235.67[.]138:7080
  • 37.139.21[.]175:8080
  • 174.102.48[.]180:80
  • 2.58.16[.]85:7080
  • 157.147.76[.]151:80
  • 137.59.187[.]107:8080
  • 103.86.49[.]11:8080
  • 190.55.181[.]54:443
  • 83.169.36[.]251:8080
  • 5.196.74[.]210:8080
  • 68.188.112[.]97:80
  • 79.98.24[.]39:8080
  • 104.236.246[.]93:8080
  • 104.131.44[.]150:8080
  • 169.239.182[.]217:8080
  • 142.105.151[.]124:443
  • 152.168.248[.]128:443
  • 85.152.162[.]105:80
  • 75.139.38[.]211:80
  • 24.179.13[.]119:80
  • 47.144.21[.]12:443
  • 74.120.55[.]163:80
  • 70.167.215[.]250:8080
  • 190.160.53[.]126:80
  • 78.24.219[.]147:8080
  • 183.101.175[.]193:80
  • 189.212.199[.]126:443
  • 180.92.239[.]110:8080
  • 157.245.99[.]39:8080
  • 110.145.77[.]103:80
  • 181.211.11[.]242:80
  • 85.105.205[.]77:8080
  • 41.60.200[.]34:80
  • 139.130.242[.]43:80
  • 37.70.8[.]161:80
  • 199.101.86[.]142:8080
  • 188.83.220[.]2:443
  • 167.86.90[.]214:8080
  • 81.2.235[.]111:8080
  • 46.105.131[.]79:8080
  • 185.94.252[.]104:443
  • 87.106.136[.]232:8080
  • 201.173.217[.]124:443
  • 209.141.54[.]221:8080
  • 222.214.218[.]37:4143
  • 203.153.216[.]189:7080
  • 203.117.253[.]142:80
  • 72.12.127[.]184:443
  • 24.43.99[.]75:80
  • 61.19.246[.]238:443
  • 204.197.146[.]48:80
  • 62.75.141[.]82:80
  • 116.203.32[.]252:8080
  • 121.124.124[.]40:7080
  • 176.111.60[.]55:8080
  • 93.51.50[.]171:8080
  • 97.82.79[.]83:80
  • 109.74.5[.]95:8080
  • 173.62.217[.]22:443
  • 181.230.116[.]163:80
  • 37.187.72[.]193:8080
  • 144.91.127[.]82:8080
  • 167.114.122[.]37:80
  • 219.94.242[.]134:8080
  • 51.38.237[.]230:8080
  • 217.160.19[.]232:8080
  • 89.248.250[.]44:8080
  • 95.215.46[.]191:8080
  • 198.144.158[.]120:443
  • 195.14.0[.]12:8080
  • 23.111.136[.]190:8080

Ilmoita Emotet-havainnosta

Ota yhteyttä Kyberturvallisuuskeskukseen, jos teillä on havaintoja Emotet-haittaohjelman leviämisestä tai tartunnoista. Yhteydenottoon voit käyttää Ilmoitus tietoturvaloukkauksesta  -lomaketta tai lähettää sähköpostin osoitteeseen cert@traficom.fi.

 

E-Karjalan ICT-Palvelut.net Oy

 
Markku Järvinen  050 305 9931 
markku.jarvinen(AT)ict-palvelut.net
 

Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.

.