News kohteet joissa tunniste: "haittaohjelma"

Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa

Tunnisteet: haittaohjelma

Emotet-haittaohjelmaa levitetään sähköpostitse suomalaisten organisaatioiden nimissä. Haittaohjelmahyökkäyksen tarkoituksena on varastaa organisaatioista tietoja, ja samalla hyökkäyksellä on mahdollista tunkeutua verkkoon syvemmälle ja käynnistää esimerkiksi kiristyshaittaohjelmahyökkäys. Hyökkäyskampanja on näkynyt aktiivisena 17.8.2020 alkaen.

Varoituksen kohderyhmä

Emotet-haittaohjelma on tyyliltään "infostealer", joka varastaa koneella olevia tietoja, sähköposteja, yhteystietolistoja, salasanoja, maksutietoja ja muuta koneella olevaa dataa. Haitallisen sähköpostin liitetiedostossa voi olla PDF- tai Office-dokumentti, jonka makrojen suorittaminen lataa koneelle haittaohjelman. Emotet voi myös ladata koneelle muita haittaohjelmia, kuten kiristyshaittaohjelmia. Kaikki virustorjuntaohjelmat eivät ole tunnistaneet tämänkertaista haittaohjelmamallia. 

Emotet-haittaohjelma ei leviä itsenäisesti työasemasta toiseen, vaan se lähettää varastamansa tiedot komentopalvelimelle. Varastetuissa tiedoissa on usein myös sähköposteja, joiden sisältöjä haittaohjelma käyttää leviämiseen. Se väärentää uuden sähköpostin vastaukseksi jo olemassaolevaan keskusteluketjuun, jolloin väärennetty viesti näyttää uskottavalta. Väärennetyssä viestissä on haitallinen liite. Viestin otsikko ja sisältö voivat olla mitä vain, sillä ne on kopioitu oikeista viesteistä. 

Ratkaisu- ja rajoitusmahdollisuudet

Henkilökunnan tiedottaminen on tärkeä keino haitallisia liitteitä vastaan. Työntekijöitä on syytä ohjeistaa olemaan avaamatta epäilyttäviä liitteitä, mutta tässä tapauksessa liitteelliset viestit voivat olla hyvinkin uskottavia. Henkilökuntaa on hyvä kouluttaa tunnistamaan väärennettyjä lähettäjätietoja. Virustorjuntaohjelmistojen tietokannat on päivitettävä ajan tasalle ja organisaation sähköpostiliitteiden välityspolitiikkaa kannattaa kiristää tiukaksi.  

  1. Varoittakaa organisaation henkilöstöä sähköpostin liitetiedostojen haittaohjelmauhasta. Etenkin Office-perheen makrotiedostoja käytetään haittalevitykseen (.doc, .docx, .xls, .xlsx).
  2. Pyrkikää kategorisesti estämään makrojen suorittaminen Office-perheen tuotteissa. "Enable content" -nappia ei kannata painella harkitsemattomasti missään liitetiedostossa. 
  3. Pyrkikää rajoittamaan Powershell-komentojen ajamista peruskäyttäjien työasemilla.
  4. Päivittäkää virustorjuntaohjelmistojen ja sähköpostisuodattimien tunnistuskannat ajan tasalle. 
  5. Tartuntatapausta epäillessä ulospäin suuntautuvaa liikennettä (määrä, volyymi, kohteet) kannattaa tarkkailla mahdollisen tietovuodon johdosta.

Lisätietoa

Emotet-haittaohjelman tunnistetietoja päivitetään aktiivisesti Cryptolaemus-tiimin

sivulle: https://paste.cryptolaemus.com/

Twitterissä uusimpia tietoja Emotet-havainnoista jakaa Cryptolaemus-tili .

Organisaation ICT-ylläpidon toimenpiteitä

Haittaohjelman ensimmäinen vaihe käynnistyy Word-sovelluksesta makrojen
ja Powershell-kutsujen kautta, ja tämän jälkeen ohjelma pyrkii hakemaan
lisää haitallista koodia ulkoisista osoitteista. Tähän kampanjaan
liittyvien tiedostojen tiivisteitä (sha256) ja latausosoitteita on alla.

  • 010ef50b4b0236ca18a36df373afd127e454d4873f5712146c08bb21c7b62bb9
  • a1ef5a3d0e75c6dff536064d31bf17a787b68e93faa74f5888c3dec5339621b3
  • 280f84bcea1a77966bc0ab76c35fab2642244aadb483c22f8645a4609dffb4c2
  • b04412dee30505cce88dbe7c0207099ffdc858c398375555809de45ee262a7b4
  • 26065af666cef99dca8be88b00619351f88a104fa5133f0aff0eb97491e38903
  • efd29571e9498866f54397e72795c69984836269c358f934763dbfe1f35c26f0
  • 0e61dc8a97f69816dd246fb9e57331622e4e76c59ea2668591d06c0c5c33576b
  • hxxp://quasi-monkey[.]com/6u1alr/jmu_etfp_04jtkjifle/
  • hxxps://www.queenyconnection[.]com/-08-16-2020_new/3syo2_x_w/
  • hxxp://xsdhly[.]com/a/ofq_4p_uxpjw862i/
  • hxxp://jkssoftsolutions[.]com/parkift/c_d_oxim1b19/
  • hxxp://niam.grapple-staging.co[.]uk/wp-content/uploads/s_s8p5_vs3fb/
  • hxxp://muliarental[.]com/f9u8w-mrs-88/VWVA/
  • hxxps://dev.dosily[.]in/wp-content/qyY/
  • hxxp://behnasan[.]com/wp-content/uZRqx/
  • hxxp://www.leframe[.]com/zcMv/tATDYnJy/
  • hxxp://runderfulthailand[.]com/jkats/LvJDvtg8270/
  • hxxp://easma[.]cn/wp-admin/yy/
  • hxxps://adhd.org[.]sa/sub_mrs/Zj0ZrG/
  • hxxp://avanwilligen[.]nl/vo/tUbJ/
  • hxxp://archmedia.com[.]br/Blog/sVey/
  • hxxp://bhar.com[.]br/caurina/tE/
  • hxxp://radiacaoweb.com[.]br/ZxOf1E/
  • hxxp://ceyhunhurcan[.]com/revolution-addons/mRXi8NJ/

Jos lataus ja ladatun tiedoston käynnistys uhrilaitteella onnistuu,
alkaa uhrilaite kommunikoida komentopalvelimelle. Tässä ketjussa on
havaittu käytettävän alla olevaa osoitetta:

  • 75.139.38[.]211
  • 112.78.142[.]170
  • 64.183.73[.]122

Muita kampanjaan todennäköisesti liittyviä komentopalvelinosoitteita:

  • 68.44.137[.]144:443
  • 69.30.203[.]214:8080
  • 67.205.85[.]243:8080
  • 85.66.181[.]138:80
  • 74.208.45[.]104:8080
  • 109.116.214[.]124:443
  • 95.179.229[.]244:8080
  • 24.137.76[.]62:80
  • 95.213.236[.]64:8080
  • 113.160.130[.]116:8443
  • 47.146.117[.]214:80
  • 24.233.112[.]152:80
  • 87.106.139[.]101:8080
  • 89.186.91[.]200:443
  • 91.211.88[.]52:7080
  • 200.41.121[.]90:80
  • 107.185.211[.]16:80
  • 104.131.11[.]150:443
  • 5.39.91[.]110:7080
  • 62.138.26[.]28:8080
  • 139.59.60[.]244:8080
  • 168.235.67[.]138:7080
  • 37.139.21[.]175:8080
  • 174.102.48[.]180:80
  • 2.58.16[.]85:7080
  • 157.147.76[.]151:80
  • 137.59.187[.]107:8080
  • 103.86.49[.]11:8080
  • 190.55.181[.]54:443
  • 83.169.36[.]251:8080
  • 5.196.74[.]210:8080
  • 68.188.112[.]97:80
  • 79.98.24[.]39:8080
  • 104.236.246[.]93:8080
  • 104.131.44[.]150:8080
  • 169.239.182[.]217:8080
  • 142.105.151[.]124:443
  • 152.168.248[.]128:443
  • 85.152.162[.]105:80
  • 75.139.38[.]211:80
  • 24.179.13[.]119:80
  • 47.144.21[.]12:443
  • 74.120.55[.]163:80
  • 70.167.215[.]250:8080
  • 190.160.53[.]126:80
  • 78.24.219[.]147:8080
  • 183.101.175[.]193:80
  • 189.212.199[.]126:443
  • 180.92.239[.]110:8080
  • 157.245.99[.]39:8080
  • 110.145.77[.]103:80
  • 181.211.11[.]242:80
  • 85.105.205[.]77:8080
  • 41.60.200[.]34:80
  • 139.130.242[.]43:80
  • 37.70.8[.]161:80
  • 199.101.86[.]142:8080
  • 188.83.220[.]2:443
  • 167.86.90[.]214:8080
  • 81.2.235[.]111:8080
  • 46.105.131[.]79:8080
  • 185.94.252[.]104:443
  • 87.106.136[.]232:8080
  • 201.173.217[.]124:443
  • 209.141.54[.]221:8080
  • 222.214.218[.]37:4143
  • 203.153.216[.]189:7080
  • 203.117.253[.]142:80
  • 72.12.127[.]184:443
  • 24.43.99[.]75:80
  • 61.19.246[.]238:443
  • 204.197.146[.]48:80
  • 62.75.141[.]82:80
  • 116.203.32[.]252:8080
  • 121.124.124[.]40:7080
  • 176.111.60[.]55:8080
  • 93.51.50[.]171:8080
  • 97.82.79[.]83:80
  • 109.74.5[.]95:8080
  • 173.62.217[.]22:443
  • 181.230.116[.]163:80
  • 37.187.72[.]193:8080
  • 144.91.127[.]82:8080
  • 167.114.122[.]37:80
  • 219.94.242[.]134:8080
  • 51.38.237[.]230:8080
  • 217.160.19[.]232:8080
  • 89.248.250[.]44:8080
  • 95.215.46[.]191:8080
  • 198.144.158[.]120:443
  • 195.14.0[.]12:8080
  • 23.111.136[.]190:8080

Ilmoita Emotet-havainnosta

Ota yhteyttä Kyberturvallisuuskeskukseen, jos teillä on havaintoja Emotet-haittaohjelman leviämisestä tai tartunnoista. Yhteydenottoon voit käyttää Ilmoitus tietoturvaloukkauksesta  -lomaketta tai lähettää sähköpostin osoitteeseen cert@traficom.fi.

Lue lisää

Kehittynyt VPNFilter-haittaohjelma saastuttanut koti- ja pienyritysreitittimiä

Tunnisteet: tietoturva, haittaohjelma, bottiverkko, verkkolaite

Cisco Talos ja Symantec julkaisivat artikkelin koti- ja pientoimistojen reitittimissä sekä verkkotallennuslaitteissa havaitusta kehittyneestä haittaohjelmasta. Talos arvioi, että haittaohjelma on saastuttanut noin 500 000 päätelaitetta 54 maassa.

VPNFilter haittaohjelma on monikäyttöinen. Se voi kuunnella reitittimen läpi menevää liikennettä mukaan lukien salasanat ja sitä voidaan käyttää ponnahduslautana sisäverkkoon suuntautuvissa hyökkäyksissä. Haittaohjelmassa on myös moduuli, jonka avulla voi myös kuunnella laitteen läpi menevää teollisuusautiomaatiossa käytettyä Modbus-liikennettä. Haittaohjelmassa on lisäksi ominaisuuksia joiden avulla hyökkääjä voi tehdä laitteesta toimimattoman ja sen palauttaminen toimintakuntoiseksi voi olla mahdotonta. Haittaohjelmasta on löydetty yhtäläisyyksiä vuonna 2015 Ukrainan sähköverkkoihin tunkeutumisessa käytetyn BlackEnergy -haittaohjelman kanssa.

Viestintävirasto selvittää mahdollisia haittaohjelman saastuttamia uhreja Suomesta ja kontaktoi nämä teleyritysten kautta.

Haittaohjelman tartunta

Haittaohjelma leviää laitteisiin käyttäen laitteiden tunnettuja haavoituuvuuksia, sekä oletustunnuksia ja salasanoja. Haittaohjelman tartunta on moniosainen. Ensimmäisessä vaiheessa laite saastutetaan ohjelmalla joka hakee laitteeseen varsinaisen haittaohjelmakomponentin. Vaiheen yksi haittaohjelma pysyy laitteessa myös laitteen uudelleen käynnistyksen jälkeen. Toisen vaiheen haittaohjelman saa kuitenkin poistettua laitteesta uudelleenkäynnistämällä sen. Yhdysvaltain viranomaiset (FBI) ovat saaneet haltuunsa haittaohjelman käyttämää infrastruktuuria, joka estää nykyisen variantin toiminnan.

Haittaohjelma pystyy Symantecin mukaan saastuttamaan seuraavia laitteita:

  • Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
  • D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
  • Huawei HG8245,
  • Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
  • Mikrotik RouterOS Cloud Core Routers: Versiot 1009, 1016, 1036, ja 1072
  • Mikrotik CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik ja STX5
  • Netgear DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
  • QNAP TS251, TS439 Pro
  • Muut QNAP:n NAS-laitteet, joissa käytetään QTS-ohjelmistoa
  • TP-Link R600VPN, TL-WR741ND, TL-WR841N
  • Ubiquiti NSM2, PBE M5
  • Upvelin valmistamista verkkolaitteista on myös haittaohjelmatartuntahavaintoja, mutta laitteiden malleista ei ole tarkempaa luetteloa.
  • ZTE ZXHN H108N

Suositeltavia toimenpiteitä:

  1. Yllä listattujen laitteiden omistajien on syytä palauttaa laite tehdasasetuksille. Näin mahdollinen haittaohjelma poistuu laitteesta.
  2. Asenna laitteeseen samalla valmistajan uusin saatavilla oleva päivitys. Seuraa milloin uusia päivityksiä on saatavilla ja asenna ne.
  3. Muuta oletustunnukset ja salasanat laadukkaisiin salasanoihin
  4. Poista etähallinta laitteesta mikäli et sitä tarvitse.
  5. Mikäli mahdollista estä laitteeseen pääsy palomuurilla
 

Alkuperäinen tartuntavektori ei toistaiseksi ole tiedossa, joten jos laite on liitetty suoraan internetiin, suojaustoimenpiteet eivät välttämättä ole riittäviä.

Päivitys 7.6.2018: Uusia haavoittuvia laitteita selvitetty

Cisco Talos on päivittänyt haavoittuvien laitteiden listaa. Uusia haavoittuvuuskohteita on todettu myös ASUSin, D-Linkin, Huawein, Ubiquitin, UPVELin ja ZTE:n valmistamista verkkolaitteista. Löydettyjä laitteita on lisätty ylläolevaan listaan.

Haittaohjelman modulaarisen rakenteen ansiosta hyökkääjä voi muokata sen toimintamalleja. Uuden löydetyn kolmannen vaiheen moduulin tehtävänä on muokata verkkolaitteen läpi kulkevaa verkkoliikennettä ja lisätä siihen väliin haitallista sisältöä välimieshyökkäyksellä (Man in the Middle Attack).

Tähän mennessä Suomessa havaittujen VPNFilterin saastuttamien laitteiden määrä on pysynyt maltillisena. Kyberturvallisuuskeskuksen tiedossa on alle kymmenen saastunutta laitetta. Haittaohjelma on suunnattu ja se leviää pääsääntöisesti Ukrainassa ja sen lähialueilla.

Haittaohjelman tartutantapojen uskotaan nojaavan tunnettuihin haavoittuvuuksiin ja oletussalasanojen käyttöön, jotka asianmukaisesti päivitetyissä ja konfiguroidussa laitteissa pitäisi olla korjattuina. Jos laitevalmistaja ei tarjoa verkkolaitteelle enää tukea tai turvallisuuspäivityksiä, eikä siitä paljastuville haavoittuvuuksille ole enää luvassa korjausta, on syytä luopua laitteen käytöstä ja korvata se uudella laitteella, jonka valmistaja on paremmin varautunut toimittamaan laitteelle turvallisuuspäivityksiä.

Lisätietoja ja haittaohjelman tunnistetietoja:

Valmistajien tiedotteita:
 

Päivityshistoria

  • 24.05.2018 klo 13:06
    Julkaistu
  • 25.05.2018 klo 12:53
    Lisätty linkit valmistajien tedotteisiin
  • 07.06.2018 klo 15:04
    Päivitetty uusilla tiedoilla haavoittuvista laitteista ja haittaohjelman toimintamalleista
Lue lisää

Microsoft DDE mekanismia hyödynnetään haittaohjelmakampanjoissa

Tunnisteet: tietoturva, haittaohjelma, bottiverkko

Käyttäjät ja organisaatiot alkavat olla hyvin tietoisia makrojen vaaroista joten hyökkääjät etsivät muita tapoja suorittaa haitallista koodia uhrien tietokoneissa. Julkisuudessa on raportoitu Microsoftin DDE (Dynamic Data Exchange) -mekanismin käytöstä useammassa eri hyökkäyskampanjassa, esim. eri haittaohjelmakampanjoissa. Microsoft on päivittänyt ohjeitaan DDE sisältöä sisältävien viestin turvallista aukaisemista varten.

Mikä DDE mekanismi on ja miten sitä väärinkäytetään?

Windows tarjoaa useita eri mekanismeja sovellusten tiedonvaihdolle järjestelmissään. Yksi näistä mekanismeista on DDE (Dynamic Data Exchange).
DDE-mekanismia käytetään viestien ja tiedon välittämiseen sovellusten välillä. Microsoftin mukaan kyse on toiminnallisuudesta eikä haavoittuvuudesta, joten toimintoja poistavia päivityksiä ei ole tiedossa. DDE-toimintoa hyväksikäyttämällä on mahdollista suorittaa makroja tai komentoja Microsoftin sovelluksissa. Käyttäjän on kuitenkin hyväksyttävä sovelluksen antamat varoitukset jotta mahdollinen hyökkäysyritys onnistuu.

Miten DDE väärinkäytön riskiä voi pienentää?

  • DDE hyväksikäyttöyritys tulee sähköpostitse ja on helposti torjuttavissa. Ole tarkkana mikäli et ole varma sähköpostin lähettäjästä ja tarkoitusperästä. Mikäli vastaanotat sähköpostin joka pyytää lupaa päivittää dokumentin tietoja tai komentoja, älä hyväksy niitä.
  • Estä DDE ominaisuuden käyttö käyttöjärjestelmästä (Linkki ohjeisiin artikkelin lopussa).

Muita rajoituskeinoja:

  • Microsoft Outlook: säädä html-muotoisten viestien näyttäminen vain teksti-muodossa.
  • Microsoft Word: hyväksikäyttöä voidaan rajoittaa poistamalla ominaisuus "Päivitä automaattiset linkit avattaessa" toiminnasta. Tämä asetus löytyy Wordista Tiedosto ->Asetukset -> Lisäasetukset -> Yleiset ja poista ruksi kohdasta "Päivitä automaattiset linkit avattaessa". Haitallisia komentoja voidaan yrittää suorittaa myös Microsoft Outlookin sähköposteissa ja kalenterissa. Haavoittuvuuden hyväksikäyttäminen edellyttää, että vastaanottajalle on sallittu viestien sisällön näyttäminen html-muodossa.

Käyttäjiä ja organisaatioita kehotetaan harkitsemaan sähköpostiviestien sallimista vain teksti-muodossa.

 

Lisätietoja asiasta:

Päivityshistoria

  • 09.11.2017 klo 14:33
    Julkaistu
Lue lisää
.