Narva linn


Riigi Infosüsteemi Ameti teavitus

Maailmas aktiivselt leviv ja augustis taas Eestisse jõudnud Emoteti pahavaravõrgustik võib kaasa tuua ka andmelekke ning Euroopa Liidu andmekaitseseaduse (GDPR) tahtmatu rikkumise.

Maailmas aktiivselt leviv ja augustis taas Eestisse jõudnud Emoteti pahavaravõrgustik võib kaasa tuua ka andmelekke ning Euroopa Liidu andmekaitseseaduse (GDPR) tahtmatu rikkumise.

Riigi infosüsteemi ameti intsidentide käsitlemise osakonna (CERT-EE) infoturbe eksperdi Joosep Sander Juhansoni sõnul levib Emoteti praegune laine veidi muutunud kujul: "Nakatunud arvutist varastatakse meilipostkasti aadressiraamat ja saadetakse see kurjategijate kontrolli all olevale juhtserverile. Samuti võetakse postkastist juhuslikud reaalsed meilivestlused ning robotvõrgustik edastab need uuesti nii vestluse osapooltele kui ka sadadele teistele kontaktidele, kaasas pahavara sisaldav manus või link."

Lisaks seadme nakatumisest tekkinud otsestele probleemidele võib Emotetiga nakatunud ettevõte sattuda olukorda, kus tema valduses olevad isikuandmed ja meilivestlused hakkavad küberruumis kontrollimatult levima. Kuivõrd andmete omanik vastutab nende turvalisuse eest isikuandmete kaitse seaduse ja Euroopa Liidu andmekaitseseaduse (GDPR) mõttes, võivad halvimal juhul tagajärjeks olla suured, kümnetesse või isegi sadadesse tuhandetesse eurodesse ulatuvad trahvid. Juhansoni sõnul tuleb teadvustada, et pahavaraga nakatumise puhul on reaalne oht arvutis olevatele andmetele, sealhulgas isikuandmetele. Isikuandmeid puudutavatest intsidentidest on ettevõtetel kohustus teavitada 72 tunni jooksul andmekaitse inspektsiooni.

Emotet ohustab Windowsi operatsioonisüsteemiga arvuteid ja levib peamiselt e-kirjadele lisatud dokumentide (harvemini ka linkide) kaudu. Eestis oleme näinud sellist varianti, kus tuttavalt inimeselt või asutuselt tuleb senise kirjavahetuse jätkuks e-kiri, millega kaasas manus, ning kirja sisu on lakooniline ingliskeelne teade „Please confirm“ või „I would like to seek your advice on this“. Mõnel juhul oli meili sisuks varem toimunud vestlus, mis lihtsalt koos manusega uuesti saadeti. Manus on näiliselt tavaline MS Office’i fail, mille avamisel on näha, et teatud makrosisu on keelatud. Selle lubamiseks peab tegema veel ühe kliki (inglise keeles „Enable Content“, eesti keeles „Luba sisu“). Klikkides lubamise nupule, nakatub arvuti Emoteti pahavaraga, kusjuures seadme kasutaja nakatumist ei märka. Pahavara muudab ja täiendab ennast aga pidevalt – CERT-EE on saanud teateid ka parooliga kaitstud zip-failidest, mis tegelikult sisaldavad MS Office’i faili ja Emoteti.

Juhanson annab soovitusi ka Emotetiga nakatumise vältimiseks: "Ehkki paremad ja järjekindlalt uuendatud viirustõrjeprogrammid suudavad pahavara sisaldavad manused sageli avastada, on võtmetähtsusega siiski kasutajate teadlikkus ja ettevaatlikkus. Kui saad tuttavalt inimeselt või asutuselt meili, millega on kaasas ootamatu manus või link, ära seda ava. Eriti ettevaatlik ole, kui kaasas olev fail nõuab avamiseks veel mingi täiendava kliki tegemist. Kui saad meili, mille sisuks olev vestlus ei tundu päris päevakohane, kahtlusta samuti, et tegemist võib olla pahavaraga. Kahtluse tekkimisel informeeri meili saatjat ning kui oled faili või lingi kogemata avanud, pöördu kohe oma asutuse IT-toe poole ning anna juhtunust teada CERT-EE-le. Kõige lihtsam on selline kahtlane e-kiri edastada cert@cert.ee."

Kuna Emotet levib praegu väga aktiivselt, soovitame ettevõtetel üle vaadata ja vajadusel karmistada oma infoturbemeetmed. Oma IT-partneri ja teenusepakkujaga tuleks läbi arutada järgmised küsimused:
♦ milliste meetmetega tõkestatakse pahavaraliiklust ettevõtte võrkudes;
♦ kuidas aru saada, et andmed on varastatud;
♦ kuidas vältida ja tuvastada nakatumisi nende teenuste puhul, millele saavad töötajad ligi oma isiklikest seadmetest.

Soovitusi, kuidas ennast ja oma ettevõtet kaitsta, vaata ka itvaatlik.ee. Samuti pakub CERT-EE avalikkusele tasuta analüüsikeskkonda Cuckoo (https://cuckoo.cert.ee/), mille abil saab kontrollida pahavarakahtlusega faile.


Riigi Infosüsteemi Amet

Lisatud 29.09.2020, 14:13
Muudetud 29.09.2020, 14:33

eelmine järgmine