Emoteti pahavaraga kaasneb ka andmevargus

Riigi infosüsteemi ameti intsidentide käsitlemise osakonna (CERT-EE) infoturbe eksperdi Joosep Sander Juhansoni sõnul levib Emoteti praegune laine veidi muutunud kujul: „Nakatunud arvutist varastatakse meilipostkasti aadressiraamat ja saadetakse see kurjategijate kontrolli all olevale juhtserverile. Samuti võetakse postkastist juhuslikud reaalsed meilivestlused ning robotvõrgustik edastab need uuesti nii vestluse osapooltele kui ka sadadele teistele kontaktidele, kaasas pahavara sisaldav manus või link.“

Lisaks seadme nakatumisest tekkinud otsestele probleemidele võib Emotetiga nakatunud ettevõte sattuda olukorda, kus tema valduses olevad isikuandmed ja meilivestlused hakkavad küberruumis kontrollimatult levima. Kuivõrd andmete omanik vastutab nende turvalisuse eest isikuandmete kaitse seaduse ja Euroopa Liidu andmekaitseseaduse (GDPR) mõttes, võivad halvimal juhul tagajärjeks olla suured, kümnetesse või isegi sadadesse tuhandetesse eurodesse ulatuvad trahvid. Juhansoni sõnul tuleb teadvustada, et pahavaraga nakatumise puhul on reaalne oht arvutis olevatele andmetele, sealhulgas isikuandmetele. Isikuandmeid puudutavatest intsidentidest on ettevõtetel kohustus teavitada 72 tunni jooksul andmekaitse inspektsiooni.

Emotet ohustab Windowsi operatsioonisüsteemiga arvuteid ja levib peamiselt e-kirjadele lisatud dokumentide (harvemini ka linkide) kaudu. Eestis oleme näinud sellist varianti, kus tuttavalt inimeselt või asutuselt tuleb senise kirjavahetuse jätkuks e-kiri, millega kaasas manus, ning kirja sisu on lakooniline ingliskeelne teade „Please confirm“ või „I would like to seek your advice on this“. Mõnel juhul oli meili sisuks varem toimunud vestlus, mis lihtsalt koos manusega uuesti saadeti. Manus on näiliselt tavaline MS Office’i fail, mille avamisel on näha, et teatud makrosisu on keelatud. Selle lubamiseks peab tegema veel ühe kliki (inglise keeles „Enable Content“, eesti keeles „Luba sisu“). Klikkides lubamise nupule, nakatub arvuti Emoteti pahavaraga, kusjuures seadme kasutaja nakatumist ei märka. Pahavara muudab ja täiendab ennast aga pidevalt – CERT-EE on saanud teateid ka parooliga kaitstud zip-failidest, mis tegelikult sisaldavad MS Office’i faili ja Emoteti.

Lisaks seadme nakatumisest tekkinud otsestele probleemidele võib Emotetiga nakatunud ettevõte sattuda olukorda, kus tema valduses olevad isikuandmed ja meilivestlused hakkavad küberruumis kontrollimatult levima.

Juhanson annab soovitusi ka Emotetiga nakatumise vältimiseks: „Ehkki paremad ja järjekindlalt uuendatud viirustõrjeprogrammid suudavad pahavara sisaldavad manused sageli avastada, on võtmetähtsusega siiski kasutajate teadlikkus ja ettevaatlikkus. Kui saad tuttavalt inimeselt või asutuselt meili, millega on kaasas ootamatu manus või link, ära seda ava. Eriti ettevaatlik ole, kui kaasas olev fail nõuab avamiseks veel mingi täiendava kliki tegemist. Kui saad meili, mille sisuks olev vestlus ei tundu päris päevakohane, kahtlusta samuti, et tegemist võib olla pahavaraga. Kahtluse tekkimisel informeeri meili saatjat ning kui oled faili või lingi kogemata avanud, pöördu kohe oma asutuse IT-toe poole ning anna juhtunust teada CERT-EE-le. Kõige lihtsam on selline kahtlane e-kiri edastada cert@cert.ee.“

Soovitusi, kuidas ennast ja oma ettevõtet kaitsta, vaata ka itvaatlik.ee. Samuti pakub CERT-EE avalikkusele tasuta analüüsikeskkonda Cuckoo, mille abil saab kontrollida pahavarakahtlusega faile.