Gå til hovedinnhold

En skadevare har infisert flere små og mellomstore organisasjoner i helsesektoren.

Saksnummer: 565799
Start: 
Slutt:  Ukjent

HelseCERT melder om at en e-postkampanje med skadevare har infisert flere små og mellomstore organisasjoner i helsesektoren. Vi har nå skrudd på blokkering av makroer i e-post som et skadebegrensende tiltak. I tillegg ber vi om at mistenkelige e-poster slettes.

Skadevaren er en trojaner (kjent som 'emotet'). Den stjeler blant annet e-poster og bruker disse til å sende ut skadevare til nye mottakere som man har hatt e-postdialog med.

Hva skjer når systemer blir infisert?

  1. Det er typisk at infiserte systemer får lastet ned enda mer skadevare, og skadevaren vil forsøke å spre seg til alle andre datamaskiner i samme nettverk.
  2. Deretter stjeler angriperen data som brukes til nye angrep og/eller utpressing.
  3. Siste steg i angrepet er kryptering av alle infiserte systemer med løsepengevirus.

Bilde 1 viser en e-post hvor angriper har stjålet e-postdialogen en mellom Norsk Helsenett og en av våre kunder.

Bilde 2 viser hvordan dokumentet ser ut om det åpnes

 

Bilde 1 (e-post):

Bilde 2 (tre typer dokumenter som skadevaren sender ut):

Hva bør dere gjøre?

Dersom dere oppdager at deres systemer har blitt infisert, gjør følgende:

  • Koble fra alle maskiner fra nettverket, slik at angriper ikke lengre kan sende kommandoer til skadevaren.
  • Kontakt IT-avdelingen for å reinstallere maskinene.
  • Merk at alle maskiner må være reinstallert eller renset før de kobles tilbake på nettverket. Dersom man overser en maskin med skadevare, eller ikke får fjernet skadevaren helt, vil infeksjonen spre seg til resten av nettverket.

Spørsmål og svar knyttet til skadevaren "emotet"

Her finner du ofte stilte spørsmål og svar fra Norsk helsenett knyttet til "emotet".

Har du flere spørsmål?

Du kan ta kontakt med vårt kundesenter på telefon 24 20 00 00 mellom 08:00 og 20:00 på alle hverdager.

Kontakt

Kunde- og driftssenteret
Norsk Helsenett
Tlf: 24 20 00 00
kundesenter@nhn.no

Alle driftsmeldinger
Driftsmeldinger på RSS