Emotet

Emotet is een soort malware die aanvankelijk was ontworpen als een banking Trojan, gericht op het stelen van financiële gegevens. Het is echter geëvolueerd tot een grote bedreiging voor gebruikers overal.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES GRATIS

Ook voor Windows, iOS, Android, Chromebook en Voor Bedrijven

Laten we het hebben over Emotet malware

Je hebt misschien over Emotet in het nieuws gehoord. Wat is het: een oude Egyptische koning, de favoriete emo-band van je tienerzus? Helaas niet.

De Emotet banking Trojan werd voor het eerst geïdentificeerd door beveiligingsonderzoekers in 2014. Emotet was oorspronkelijk ontworpen als een banking malware dat probeert ongezien je computer binnen te dringen en gevoelige en privé-informatie te stelen. Latere versies van de software voegden spamming en malwave-bezorgdiensten toe, inclusief andere banking Trojans.

Emotet maakt gebruik van functies die helpen om detectie door sommige anti-malware producten te omzeilen. Emotet gebruikt wormachtige capaciteiten om zich naar andere verbonden computers te verspreiden. Dit draagt bij aan de verspreiding van de malware. Deze functionaliteit heeft het Amerikaanse Ministerie van Binnenlandse Veiligheid ertoe gebracht om te concluderen dat Emotet een van de duurste en meest destructieve malware is, die zowel overheids- als privésectoren, individuen en organisaties treft, en meer dan $1 miljoen per incident kost om op te ruimen.

icoon schild

Emotet cyberbeveiligingsproducten

Voor bedrijven

Malwarebytes Endpoint Detection and Response
 Malwarebytes Endpoint Protection
 Malwarebytes Incident Response

Wat is Emotet?

Emotet is een Trojan die voornamelijk wordt verspreid via spam e-mails (malspam). De infectie kan binnenkomen via een kwaadaardig script, macro-ondersteunde documentbestanden of een kwaadwillige link. Emotet e-mails kunnen vertrouwde branding bevatten die lijkt op een legitieme e-mail. Emotet kan proberen gebruikers te verleiden om op de kwaadaardige bestanden te klikken door verleidelijke taal te gebruiken over “Uw Factuur,” “Betalingsgegevens,” of mogelijk een aankomende zending van bekende pakketbedrijven.

Emotet heeft verschillende iteraties doorgemaakt. Vroege versies kwamen als een kwaadaardig JavaScript-bestand. Latere versies evolueerden naar het gebruik van macro-ondersteunde documenten om de viruslading van command-and-control (C&C) servers beheerd door de aanvallers op te halen. 

Emotet gebruikt verschillende trucs om detectie en analyse te voorkomen. Opmerkelijk is dat Emotet weet of het in een virtuele machine (VM) draait en inactief blijft als het een sandbox-omgeving detecteert, een hulpmiddel dat door cybersecurity-onderzoekers wordt gebruikt om malware te observeren binnen een veilige, gecontroleerde omgeving.

Emotet gebruikt ook C&C-servers om updates te ontvangen. Dit werkt net zoals de besturingssysteem-updates op je pc en kan naadloos en zonder duidelijke tekenen gebeuren. Dit stelt de aanvallers in staat om bijgewerkte versies van de software te installeren, extra malware zoals andere banking Trojans te installeren of als opslagplaats te dienen voor gestolen informatie zoals financiële inloggegevens, gebruikersnamen en wachtwoorden, en e-mailadressen.

Emotet nieuws

Hoe verspreidt Emotet zich?

De primaire distributiemethode voor Emotet is via malspam. Emotet plundert je contactenlijst en stuurt zichzelf naar je vrienden, familie, collega's en klanten. Aangezien deze e-mails afkomstig zijn van je gekaapte e-mailaccount, lijken de e-mails minder op spam en voelen de ontvangers zich veilig, waardoor ze eerder op slechte URL's klikken en geïnfecteerde bestanden downloaden.

Als er een gekoppeld netwerk aanwezig is, verspreidt Emotet zich door gebruik te maken van een lijst met veelvoorkomende wachtwoorden, waardoor het zich een weg baant naar andere verbonden systemen in een brute-force aanval. Als het wachtwoord van de onmisbare server voor personeelszaken simpelweg “wachtwoord” is, dan vindt Emotet waarschijnlijk zijn weg daarheen.

Onderzoekers dachten aanvankelijk dat Emotet zich ook verspreidde via de EternalBlue/DoublePulsar kwetsbaarheden, die verantwoordelijk waren voor de WannaCry en NotPetya aanvallen. We weten nu dat dit niet het geval is. Wat onderzoekers tot deze conclusie leidde was het feit dat TrickBot, een Trojan die vaak wordt verspreid door Emotet, gebruikmaakt van de EternalBlue exploit om zichzelf binnen een netwerk te verspreiden. Het was TrickBot, niet Emotet, die profiteerde van de EternalBlue/DoublePulsar kwetsbaarheden.

Wat is de geschiedenis van Emotet?

Eerst geïdentificeerd in 2014, blijft Emotet systemen infecteren en gebruikers tot op de dag van vandaag schaden. Daarom praten we er nog steeds over, in tegenstelling tot andere trends uit 2014 (iemand nog de Ice Bucket Challenge?).

Versie één van Emotet was ontworpen om bankrekeninggegevens te stelen door internetverkeer te onderscheppen. Kort daarna werd er een nieuwe versie van de software gedetecteerd. Deze versie, Emotet versie twee genoemd, werd geleverd met verschillende modules, waaronder een geldtransfersysteem, malspam-module, en een banking module die gericht was op Duitse en Oostenrijkse banken.

“Huidige versies van de Emotet Trojan bevatten de mogelijkheid om andere malware op geïnfecteerde machines te installeren. Deze malware kan andere banking Trojans of malspam bezorgservices omvatten.”

In januari 2015 verscheen er een nieuwe versie van Emotet. Versie drie bevatte stealth-wijzigingen ontworpen om de malware onder de radar te houden en voegde nieuwe Zwitserse bankdoelen toe.

Fast forward naar 2018—nieuwe versies van de Emotet Trojan omvatten de mogelijkheid om andere malware op geïnfecteerde machines te installeren. Deze malware kan andere Trojans en ransomware omvatten. Bijvoorbeeld, een Emotet-aanval in juli 2019 op Lake City, Florida, kostte de stad $460.000 aan ransomware-uitbetalingen, volgens Gizmodo. Een analyse van de aanval toonde aan dat Emotet alleen diende als de initiële infectievehikel. Eenmaal geïnfecteerd, downloadde Emotet een andere banking Trojan, bekend als TrickBot, en de Ryuk ransomware.

Na het grootste deel van 2019 vrij stil te zijn geweest, kwam Emotet sterk terug. In september 2019 rapporteerden Malwarebytes Labs over een botnet-gedreven spam campagne gericht op Duitse, Poolse, Italiaanse en Engelse slachtoffers met zorgvuldig geformuleerde onderwerpsregels zoals “Betalingsherinnering” en “Achterstallige factuur.” Het openen van het geïnfecteerde Microsoft Word document activeert een macro, dat op zijn beurt Emotet downloadt van gecompromitteerde WordPress sites.

Wie valt Emotet aan?

Iedereen is een doelwit voor Emotet. Tot nu toe heeft Emotet individuen, bedrijven en overheidsinstanties getroffen in de Verenigde Staten en Europa, door bankgegevens, financiële gegevens en zelfs Bitcoin-portefeuilles te stelen.

Een opmerkelijke Emotet-aanval op de stad Allentown, PA vereiste directe hulp van het incidentresponse-team van Microsoft om op te ruimen en zou de stad naar verluidt meer dan $1 miljoen hebben gekost om op te lossen.

Nu Emotet wordt gebruikt om andere banking Trojans te downloaden en bezorgen, is de lijst met doelwitten mogelijk nog breder geworden. Vroege versies van Emotet werden gebruikt om bankklanten in Duitsland aan te vallen. Latere versies van Emotet richtten zich op organisaties in Canada, het Verenigd Koninkrijk en de Verenigde Staten.

“Een opmerkelijke Emotet-aanval op de stad Allentown, PA vereiste directe hulp van het incidentresponse-team van Microsoft om op te ruimen en zou de stad naar verluidt meer dan $1 miljoen hebben gekost om op te lossen.”

Hoe kan ik mezelf beschermen tegen Emotet?

Je zet al de eerste stap om jezelf en je gebruikers te beschermen tegen Emotet door te leren hoe Emotet werkt. Hier zijn nog een paar extra stappen die je kunt nemen:

  1. Houd je computer/endpoints up-to-date met de nieuwste patches voor Microsoft Windows. TrickBot wordt vaak geleverd als een secundaire Emotet-lading, en we weten dat TrickBot vertrouwt op de Windows EternalBlue kwetsbaarheid om zijn vuile werk te doen, dus patch die kwetsbaarheid voordat de cybercriminelen er misbruik van kunnen maken.
  2. Download geen verdachte bijlagen en klik niet op een schaduwachtige link. Emotet kan die eerste toegang tot je systeem of netwerk niet krijgen als je die verdachte e-mails vermijdt. Neem de tijd om je gebruikers te onderwijzen over hoe malspam te herkennen.
  3. Onderwijs jezelf en je gebruikers over het creëren van een sterk wachtwoord. Terwijl je bezig bent, begin met het gebruik van tweefactorauthenticatie.
  4. Je kunt jezelf en je gebruikers beschermen tegen Emotet met een robuust cybersecurityprogramma dat meerlagige bescherming biedt. Malwarebytes zakelijk en premium consumenten producten detecteren en blokkeren Emotet in real-time.  

Hoe kan ik Emotet verwijderen?

Als je vermoedt dat je al geïnfecteerd bent door Emotet, raak dan niet in paniek. Als je computer is verbonden met een netwerk, isoleer het onmiddellijk. Eenmaal geïsoleerd, ga verder met het patchen en reinigen van het geïnfecteerde systeem. Maar je bent nog niet klaar. Vanwege de manier waarop Emotet zich door je netwerk verspreidt, kan een schone computer opnieuw worden geïnfecteerd wanneer deze opnieuw op een geïnfecteerd netwerk wordt aangesloten. Maak elke computer op je netwerk een voor een schoon. Het is een tijdrovend proces, maar Malwarebytes zakelijke oplossingen kunnen het makkelijker maken door geïnfecteerde endpoints te isoleren en te herstellen en proactieve bescherming te bieden tegen toekomstige Emotet-infecties.

Als kennis de helft van de strijd is, ga dan naar Malwarebytes Labs en ontdek meer over hoe Emotet detectie ontwijkt en hoe Emotet's code werkt.