NZ: n hallitus varoittaa Emotet-sähköpostikampanjoista

Uuden-Seelannin CERT (Computer Emergency Response Team) ilmoitti, että he olivat nähneet piikin Emotet- toiminnassa, joka kohdistui Uuden-Seelannin organisaatioihin. Emotet syntyi ensimmäisen kerran vuonna 2014. Tuolloin Emotet suunniteltiin pankkitroijalaiseksi. Tavoitteena oli tunkeutua järjestelmiin ja varastaa arkaluonteisia tietoja. Viime aikoina Emotet-versiot ovat kehittyneet lisäämään toimintoja, kuten mahdollistamaan roskapostikampanjat ja toimimaan jakelutyökaluna muille haittaohjelmille. Emotet on tiettävästi levittänyt muita pankkitroijalaisia ja lunnasohjelmia. Kuten muutkin pitkäikäiset haittaohjelmat, Emotet kehittyy jatkuvasti ja käyttää erilaisia menetelmiä tartunnan varmistamiseksi, pysyvyyden saavuttamiseksi ja havaitsemisen välttämiseksi.

Viimeaikainen kampanja Uudessa-Seelannissa käyttää hyväksi todettua menetelmää tunkeutua järjestelmiin. Verkkorikolliset käyttävät haitallisia sähköposteja tartuttaakseen kohteitaan. Nämä sähköpostit sisältävät haitallisia latauslinkkejä tai vaarantuneita liitteitä. Liitteet voivat esittää laillisina asiakirjoina, kuten laskuja, ansioluetteloita, lähetystietoja ja muita. Todellisuudessa ne ovat makrokäyttöisiä asiakirjoja ja ne helpottavat yhteyttä Emotetin C2-palvelimiin hyötykuorman toimittamiseksi.

Yksi Emotetin nykyisten versioiden toiminnoista on varastaa tartunnan saaneella koneella käytettävissä olevien sähköpostitilien kirjautumistiedot. Emotetin tämän erityisen näkökohdan lopullinen tavoite on levittää edelleen troijalaista. Näitä kirjautumistietoja voidaan joko käyttää tulevissa roskapostikampanjoissa tai Emotet voi käyttää niitä lähettämään haitallisia sähköposteja vaarantuneen tilin yhteyshenkilöille.

Emotet voi asentaa myös muita uhkia. Emotetin asentamien haittaohjelmien luettelo on pitkä ja vaihtelee kampanjoittain, mutta Emotetin tiedetään toimittaneen Trickbotia ja QBotia. Verkkorikolliset voivat puolestaan käyttää Trickbotia ja QBotia pääsemään verkkoon ja varastaa tietoja tai asentaa lunnasohjelmia. Conti, Maze, Ryuk ja ProLock ovat vain joitain lunnasohjelmien uhista, joita verkkorikolliset voivat käyttää verkon tartuttamiseen.

NZ CERT varoittaa, että Emotet voi kohdistaa sekä yksilöihin että organisaatioihin. Kaikkien tulisi olla etsimässä epäilyttävää toimintaa. Turvallisuusasiantuntijoille se on osa heidän työstään ja he tietävät hyvin, mitä tehdä. Yksilöt eivät kuitenkaan välttämättä ole täysin tietoisia oireista. Emotetin kaltaisen troijalaisen tapauksessa uhri voi todennäköisesti saada yhteyshenkilöiltään sähköpostiviestejä, joissa sanotaan, että viimeksi mainitut ovat saaneet tietojenkalasteluviestejä uhrilta. Tietoturvaohjelmistot voivat varmasti auttaa monissa tapauksissa, ja se on pakko kaikille nykyään.