„Tegemist oli pahavara Emotet abil varastatud kasutajaandmetega," ütles Fortele riikliku küberturbeüksuse CERT-EE infoturbe ekspert Joosep Sander Juhanson.
CERT-EEle omakorda oli juhtumist teada andnud koostööpartner, kes osales Emoteti võrgustiku mahavõtmises – erinevate portaalide peale kokku oli varastatud tuhandete kasutajate andmed.
„Kokku jagati meiega ligi 8000 kasutaja andmeid, kõik need puudutasid Eestis registreeritud veebikeskkondi," rääkis Juhanson. „CERT-EE teavitas omalt poolt nii veebikeskkondasid kui ka kasutajaid. Tähelepanu kindlasti väärib fakt, et kuigi meieni jõudis informatsioon ühe või kahe kasutaja kohta, võib siiski eeldada, et nendel kasutajatel, kelle poole pöördusime, lekkisid kõik paroolid, mis olid veebilehitsejasse salvestatud. Seega tuleks kõik need välja vahetada."
Mis puutub konkreetsemalt NutriData keskkonda, siis sealt lekkisid kolme inimese kasutajanimed ja paroolid, mida kasutati kuni 2019. aasta maikuuni kasutusel olnud vanas NutriData keskkonnas.
„Leke ei olnud tingitud NutriData keskkonda sissetungimisest, vaid infovargus toimus kasutajate endi veebilehitsejate kaudu," ütles TAI pressiesindaja Pille Kalda.
Ta rääkis, et TAI on juhtumist teavitanud NutriData kasutajaid, kes kasutasid andmebaasi vana süsteemi ja on jätkanud uues – neil soovitati vahetada parooli ning juhiti tähelepanu teada-tuntud tõele, et sama parooli kasutamine mistahes eri keskkondades on turvarisk.
„Uusi kasutajaid see intsident ei puuduta. Praegu on ühendus krüpteeritud kujul ja sealtkaudu veebilehitsejasse sisestatud andmeid pealt kuulata ei saa," kinnitas Kalda.
Mis on Emotet?
Forte on varem sellest viirusest kirjutanud selles artiklis.
Pahavaraga nakatunud arvutist varastatakse e-postkasti aadressiraamat ja saadetakse kurjategijatele. Samuti võetakse postkastist juhuslikud reaalsed meilivestlused ning robotvõrgustik edastab need uuesti nii vestluse osapooltele kui ka sadadele teistele kontaktidele, kaasas pahavara sisaldav manus või link. Lisaks seadme nakatumisest tekkinud otsestele probleemidele võib Emotetiga nakatunud ettevõte sattuda olukorda, kus tema valduses olevad isikuandmed ja meilivestlused hakkavad küberruumis kontrollimatult levima.
Emotet saab levida Windowsi operatsioonisüsteemiga arvutites ja seda levitatakse peamiselt e-kirjadele lisatud dokumentide (harvemini ka linkide) kaudu. Kirja sisu on tihti lakooniline ingliskeelne teade „Please confirm" või „I would like to seek your advice on this". Mõnel juhul on e-kirja sisuks varem toimunud vestlus, mis lihtsalt koos manusega uuesti saadeti.
Tegu on tüüpilise Wordi laiendiga failiga nagu .docx ja .doc, mille avamisel tuleb ette kiri, et dokumendi sisu ei ole võimalik näidata ning programm võib vajada uuendamist. Pahavara jõuab kasutaja arvutisse, kui ta teeb veel ühe kliki ja annab makrodele loa. Ingliskeelne Word küsib kasutajalt „Enable Editing" ja „Enable Content", eestikeelne „Luba redigeerimine" ja „Luba sisu". Klikkides lubamise nupule, nakatub arvuti Emoteti pahavaraga, kusjuures seadme kasutaja nakatumist ei märka. Pahavara muudab ja täiendab ennast aga pidevalt, CERT-EE on saanud teateid ka parooliga kaitstud zip-failidest, mis tegelikult sisaldavad MS Wordi faili ja Emoteti.
Kuidas end selle eest kaitsta?
Kui saate tuttavalt inimeselt või asutuselt e-kirja, millega on kaasas ootamatu manus või link, siis ärge seda avage. Eriti ettevaatlik tuleb olla, kui kaasas olev fail nõuab avamiseks veel mõne täiendava kliki tegemist. Kui saate e-kirja, mille sisuks olev vestlus ei tundu päris päevakohane, võib olla tegu pahavaraga. Kahtluse tekkimisel informeerige kirja saatjat ning kui olete faili või lingi kogemata avanud, pöörduge kohe oma asutuse IT-toe poole ning teavitage juhtunust CERT-EE-d (cert@cert.ee).
