Mikä Emotet on?
Emotet on tietokoneiden haittaohjelma, joka alun perin kehitettiin pankkitroijalaiseksi. Tavoitteena oli tunkeutua ihmisten laitteisiin ja vakoilla arkaluontoisia yksityistietoja. Emotet onnistuu huijaamaan tavallisia virustorjuntaohjelmia ja piiloutumaan niiltä. Kun haittaohjelma on tartuttanut koneen, se leviää madon lailla ja pyrkii soluttautumaan muihin verkon tietokoneisiin.
Emotet leviää pääasiassa roskapostiviestien välityksellä. Sähköposti sisältää haitallisen linkin tai tartunnan saaneen dokumentin, jossa on aktivoituja makroja. Jos lataat dokumentin tai avaat linkin, tietokoneeseesi latautuu automaattisesti lisää haittaohjelmia. Sähköposti näyttää aivan aidolta.
Emotet-termi
Emotet tunnistettiin ensimmäisen kerran vuonna 2014, kun saksalaisten ja itävaltalaisten pankkien asiakkaat saivat tartunnan troijalaiselta. Emotet oli päässyt käsiksi asiakkaitten kirjautumistietoihin. Seuraavina vuosina haittaohjelma onnistui levittäytymään maailmanlaajuisesti.
Myöhemmin Emotet kehittyi pankkitroijalaisesta dropper-ohjelmaksi, mikä tarkoittaa, että troijalainen lataa haittaohjelman. Haittaohjelma on vastuussa varsinaisista järjestelmään aiheutuvista vahingoista. Useimmissa tapauksissa Emotet on "pudottanut" seuraavat ohjelmat:
- Trickbot: pankkitroijalainen, joka yrittää päästä käsiksi pankkitilien kirjautumistietoihin.
- Ryuk: salaustroijalainen – joka tunnetaan myös kryptotroijalaisena tai kiristysohjelmana – salaa tiedot ja siten estää tietokoneen käyttäjää käyttämästä tietojaan, tai se lukitsee koko järjestelmän.
Emotetin takana olevien kyberrikollisten tavoitteena on usein kiristää rahaa uhreiltaan. He esimerkiksi uhkaavat julkaisevansa salatut tiedot tai kieltäytyvät vapauttamasta niitä koskaan. Yleensä Emotetilla viitataan koko prosessiin, johon sisältyy tartunta, lisähaittaohjelman lataus ja sen levitys.
Keneen Emotet-hyökkäykset kohdistuvat?
Yksityishenkilöihin, yrityksiin, organisaatioihin ja julkisiin viranomaisiin. Vuonna 2018 Fürstenfeldbruckin kliininen keskus joutui sulkemaan 450 tietokonetta ja kirjautumaan ulos hätäpalvelukeskuksesta Emotet-hyökkäyksen seurauksena. Syyskuussa 2019 esimerkiksi Berliinin hovioikeus, Kammergericht, sai tartunnan ja sen jälkeen myös Giessenin yliopisto joulukuussa 2019.
Emotet tartutti myös Hannoverin lääketieteellisen yliopiston ja Frankfurt am Mainin kaupungin hallinnon. Tartunnan saaneiden yritysten määrän arvioidaan olevan paljon suurempi. Monet yritykset eivät oletettavasti halua ilmoittaa tartunnasta maineensa menetyksen ja lisähyökkäysten pelossa.
Emotetin alkuvuosina uhreiksi joutui pääasiassa yrityksiä, mutta nykyisin troijalainen kohdistaa hyökkäykset useimmiten yksityishenkilöihin.
Mitkä laitteet ovat riskissä joutua Emotetin kohteeksi?
Alkuaan Emotetin tartuntoja havaittiin vain uusimmissa Microsoft Windows -käyttöjärjestelmissä. Vuoden 2019 alussa huomattiin, että myös Apple-tietokoneet olivat saaneet tartuntoja. Rikolliset huijasit käyttäjiä valheellisella Apple-tuen sähköpostilla, jossa väitettiin, että yrityksellä oli "rajoitettu pääsy asiakastiliisi". Viestissä käyttäjää pyydettiin valitsemaan linkki tiettyjen Apple-palvelujen pois kytkemisen ja poistamisen estämiseksi.
Kuinka Emotet-troijalainen leviää
Emotet leviää pääasiassa niin kutsutulla Outlook-keräyksellä. Troijalainen lukee jo tartunnan saaneiden käyttäjien sähköposteja ja luo harhaanjohtavan todentuntuista sisältöä. Nämä sähköpostit vaikuttavat aidoilta ja henkilökohtaisilta — eli ne poikkeavat tavanomaisista roskaposteista. Emotet lähettää nämä verkkourkintaviestit tallentamillesi yhteyshenkilöille, eli perheelle, ystäville, kollegoille ja pomolle.
Sähköpostit sisältävät yleensä vaarallisen linkin tai tartunnan saaneen Word-dokumentin, joka pitää ladata. Lähettäjänä näytetään todellinen nimi. Vastaanottaja tuntee olonsa turvalliseksi, koska viesti näyttää normaalilta, henkilökohtaiselta sinulta tulleelta sähköpostilta ja sen vuoksi hän todennäköisemmin klikkaa vaarallista linkkiä tai tartunnan saanutta liitettä.
Emotet voi levitä yhä edelleen, kun se on päässyt verkkoon. Se yrittää saada tiliesi salasanat selville väsytysmenetelmällä. Tämän lisäksi Emotet on levinnyt EternalBlue-hyökkäyksillä ja DoublePulsar-haavoittuvuudella Windowsissa, joka mahdollisti haittaohjelman asennuksen ilman ihmisten väliintuloa. Vuonna 2017 WannaCry-kiristystroijalainen onnistui käyttämään EternalBlue-hyökkäystä vakavassa kyberhyökkäyksessä aiheuttaen tuhoa.
Emotetin haittaohjelmainfrastuktuuri murskattu
Tammikuun lopulla vuonna 2021 Frankfurt am Mainin yleinen syyttäjä, internetrikollisuutta vastaan taisteleva keskustoimisto (CIT) ja Federal Criminal Office (FCO) ilmoittivat, että Emotet-infrastruktuuri oli "otettu haltuun ja murskattu" osana yhteistä kansainvälistä operaatiota. Saksan, Alankomaiden, Ukrainan, Ranskan ja Liettuan, Yhdistyneen kuningaskunnan, Kanadan ja Yhdysvaltojen lainvalvontaviranomaiset osallistuivat operaatioon.
Viranomaiset väittivät, että he olivat onnistuneet kytkemään pois käytöstä yli 100 Emotet-infrastruktuurin tietokonetta, joista jopa 17 oli Saksassa. Ne toimivat polun alkuna. FCO oli kerännyt tietoja ja analyysin jälkeen he onnistuivat paikantamaan lisää palvelimia ympäri Euroopan.
FCO:n mukaan Emotet-haittaohjelman infrastruktuuri murskattiin ja tehtiin harmittomaksi. Ukrainan viranomaiset onnistuivat ottamaan infrastruktuurin haltuunsa, sekä kaappaamaan useita tietokoneita, kiintolevyjä, rahaa ja kultaharkkoja. Koko operaation koordinoivat Europol ja Eurojust, EU:n rikosoikeudellisissa asioissa tehtävän oikeudellisen yhteistyön virasto.
Ottamalla Emotetin infrastruktuurin haltuunsa viranomaiset onnistuivat tekemään haittaohjelman käyttökelvottomaksi tartunnan saaneissa saksalaisten uhrien järjestelmissä. Jotta haittaohjelma ei saisi järjestelmiä uudestaan haltuunsa, työryhmä eristi sen tartunnan saaneissa uhrien järjestelmissä. Lisäksi he muuttivat ohjelmiston viestintäparametrejä niin, että se pystyi kommunikoimaan erityisesti määritetyn infrastruktuurin kanssa vain todistusaineiston suojaamiseksi. Prosessissa viranomaiset saivat tietoa tartunnan saaneista uhrijärjestelmistä, kuten julkiset IP-osoitteet. Tiedot toimitettiin BSI:lle.
Kuka on Emotetin takana?
Federal Office for Information Security (FIS) uskoo, että "Emotetin kehittäjät vuokraavat ohjelmistoaan ja infrastruktuuriaan kolmansille osapuolille". He puolestaan käyttävät lisähaittaohjelmia omien tavoitteidensa saavuttamiseksi. BSI uskoo, että rikollisten motiivit ovat taloudellisia ja ongelmana on ennemminkin kyberrikollisuus kuin vakoilu.
Kukaan ei tunnu tietävän, kuka hyökkäysten takana on. Huhujen mukaan he ovat Venäjältä tai Itä-Euroopasta, mutta sitä tukevia selkeitä todisteita ei ole olemassa.
Emotet: erittäin tuhoisa haittaohjelma
Yhdysvaltain kotimaan turvallisuusvirasto on todennut, että Emotet on erityisen kallis ohjelmisto, jolla on valtava tuhoamisvoima. Puhdistuskulujen arvioidaan olevan noin miljoona Yhdysvaltain dollaria tapausta kohden. Tämän vuoksi Federal Office for Information Securityn johtaja Arne Schönbohm kutsuu Emotetia "haittaohjelmien kuninkaaksi".
Emotet on epäilemättä historian monimutkaisin ja vaarallisin haittaohjelma. Virus on monimuotoinen, mikä tarkoittaa, että sen koodi muuttuu hieman joka kerta, kun sitä käytetään. Tämän vuoksi virustorjuntaohjelmiston on vaikea tunnistaa haittaohjelmaa: monet viruksentorjuntaohjelmat suorittavat varmenteeseen perustuvia hakuja. Helmikuussa 2020 Binaryn tietoturvallisuustutkijat saivat selville, että Emotet hyökkää nykyisin myös Wi-Fi-verkkoihin. Jos tartunnan saanut laite liitetään langattomaan verkkoon, Emotet tarkistaa kaikki lähistön langattomat verkot. Salasanaluetteloa hyödyntämällä virus yrittää päästä sisään verkkoihin ja siten tartuttaa muita laitteita.
Kyberrikolliset käyttävät hyväkseen ihmisten pelkoa. Siksi ei ole yllättävää, että Emotet käytti hyväkseen myös koronaviruksen pelkoa, joka valtasi koko maailman joulukuusta 2019 alkaen. Troijalaisen takana olevat kyberrikolliset lähettävät usein huijaussähköposteja, jotka väittävät tarjoavan tietoja koronaviruksesta ja sivistävän ihmisiä. Jos siis postilaatikkoosi saapuu tällainen viesti, ole erityisen varovainen viestin liitteiden ja sen sisältävien linkkien suhteen.
Kuinka voin suojautua Emotetilta?
Suojautuaksesi Emotetilta ja muilta troijalaisilta et voi luottaa ainoastaan virustorjuntaohjelmiin. Monimuotoisen haittaohjelman tunnistaminen on loppujen lopuksi vain ensimmäinen loppukäyttäjien ongelmista. Yksinkertaisesti sanottuna, olemassa ei ole ratkaisua, joka tarjoaa 100-prosenttisen suojan Emotetia tai muita muuntautuvia troijalaisia vastaan. Tartuntariki voidaan minimoida pelkästään organisatorisilla ja teknisillä varotoimilla. Noudata näitä varotoimia suojautuaksesi Emotetilta:
- Pysy ajan tasalla. Seuraa säännöllisesti Emotetin kehittymistä koskevia uutisia. Sitä koskevia tietoja löytyy esimerkiksi BSI:n uutiskirjeestä, Kasperskyn uutiskirjeestä, tai tutkimalla asiaa itse.
- Tietoturvapäivitykset: Muista asentaa kaikki valmistajien päivitykset mahdollisimman nopeasti poistaaksesi mahdolliset tietoturvan haavoittuvuudet. Tämä koskee käyttöjärjestelmiä kuten Windows ja MacOS, samoin kuin monia sovelluksia, selaimia, selaimen lisäosia, sähköpostiasiakkaita, Officea ja PDF-ohjelmia.
- Virustorjuntaohjelmisto: Muista asentaa virustorjuntaohjelma, kuten Kaspersky Internet Security ja anna sen tarkistaa tietokoneesi säännöllisesti haavoittuvuuksien varalta. Näin saat parhaan mahdollisen suojauksen viimeisimpiä viruksia, haittaohjelmia jne. vastaan.
- Älä lataa epäilyttäviä sähköpostien liitteitä tai napsauta arveluttavia linkkejä. Jos olet epävarma sähköpostin aitoudesta, älä ota riskiä, vaan ota yhteyttä henkilöön, joka oletettavasti lähetti viestin. Jos sinua pyydetään sallimaan makron suorittaminen tiedoston latauksen aikana, älä tee niin missään tapauksessa. Poista sen sijaan tiedosto välittömästi. Näin et anna Emotetille mahdollisuutta päästä tietokoneellesi alun alkujaankaan.
- Varmuuskopiot: Ota tiedoistasi säännöllisesti varmuuskopiot ulkoiseen tietovälineeseen. Jos koneesi saa tartunnan, sinulla on tiedoista varmuuskopio, etkä menetä kaikkia laitteesi tietoja.
- Salasanat: Käytä ainoastaan vahvoja salasanoja kaikilla tileillä (verkkopankit, sähköpostitilit, verkkoliikkeet). Toisin sanoen, älä käytä ensimmäisen koirasi nimeä, vaan satunnaista kirjainten, numeroiden ja erityismerkkien jonoa. Voit joko keksiä salasanat itse tai luoda ne salasanan hallintaohjelmilla. Lisäksi monet ohjelmat tarjoavat nykyisin kaksivaiheisen todennuksen.
- Tiedostopäätteet: Varmista, että tiedostopäätteet näytetään tietokoneellasi oletusarvoisesti. Näin tunnistat helpommin oudot tiedostot, kuten "Vacation snap123.jpg.exe".
Kuinka voin poistaa Emotetin?
Ennen kaikkea: Älä mene paniikkiin, jos epäilet, että tietokoneesi on saanut Emotet-tartunnan! Ilmoita läheisillesi tartunnasta, sillä sähköpostin yhteyshenkilösi ja muut verkkoosi liitetyt laitteet ovat mahdollisesti vaarassa.
Jos tietokoneesi on yhteydessä verkkoon, eristä se Emotetin leviämisriskin vähentämiseksi. Vaihda sen jälkeen kaikkien tiliesi kirjautumistiedot, eli sähköpostitilit, verkkoselaimet jne.
Emotet-haittaohjelma on monimuotoinen ja sen koodi muuttuu hieman joka kerta, kun sitä käytetään. Tämän vuoksi puhdistettu tietokone voi nopeasti saada uuden tartunnan, jos se liitetään tartunnan saaneeseen verkkoon. Siksi sinun pitää puhdistaa kaikki verkkoon yhdistetyt tietokoneet — yksi toisensa jälkeen. Käytä apuna virustorjuntaohjelmaa. Vaihtoehtoisesti voit ottaa yhteyttä asiantuntijaan, kuten virustorjuntaohjelmistosi toimittajaan.
EmoCheck: auttaako se todella Emotetia vastaan?
Japanilainen CERT (tietotekninen kriisiryhmä) on julkaissut EmoCheck-työkalun, jolla voit tarkistaa, onko tietokoneesi saanut Emotet-tartunnan. Vinkki: Käytä työkalua tunnistaaksesi mahdolliset tunnetut Emotet-versiot. Ole kuitenkin varovainen! Koska Emotet on monimuotoinen, EmoCheck ei voi taata 100 % varmuutta siitä, että tietokoneessa ei ole tartuntaa. EmoCheck tunnistaa tyypilliset merkkijonot ja varoittaa sinua siten troijalaisesta. Haittaohjelman muuntuvuus kuitenkin tarkoittaa, että tietokoneen puhtaudesta ei ole takuuta.
Yhteenveto Emotetista
Emotet-troijalainen on yksi vaarallisimmista haittaohjelmista tietotekniikka-alan historiassa. Kuka tahansa voi joutua sen uhriksi: yksityishenkilöt, yritykset ja jopa julkiset viranomaiset. Kun troijalainen on tunkeutunut järjestelmään, se lataa muita haittaohjelmia, jotka vakoilevat kirjautumistietoja ja salaa tiedot. Usein haittaohjelmat uhreja mustamaalataan ja lunnaiden maksua vaaditaan tietojen takaisin saamiseksi. Valitettavasti ei ole olemassa ratkaisua, joka takaa täydellisen suojauksen Emotetin tartuntoja vastaan. Voit kuitenkin suorittaa varotoimia pitääksesi tartuntariskin matalana. Jos epäilet, että tietokoneesi on saanut Emotet-tartunnan, noudata aiemmin mainittuja ohjeita puhdistaaksesi Emotetin tietokoneesta.
Nämä tietoturvaratkaisut tarjoavat suojan troijalaisia, viruksia ja kiristysohjelmia vastaan:
Aiheeseen liittyvät artikkelit:
LockBit-kiristysohjelma — mitä sinun täytyy tietää
Mikä Emotet on?
Kaspersky
