Emotet

Emotet is een soort malware die oorspronkelijk was ontworpen als een Trojaanse bank met als doel het stelen van financiële gegevens, maar het heeft zich ontwikkeld tot een grote bedreiging voor gebruikers overal.

.st0{fill:#0D3ECC;} MALWAREBYTES GRATIS DOWNLOADEN

Ook voor Windows, iOS, Android, Chromebook en Voor bedrijven

Laten we het hebben over Emotet-malware

u heeft misschien in het nieuws gehoord over Emotet. Wat is het: Egyptische koning uit de oudheid, uw favoriete emo-band van je tienerzus? We zijn bang van niet.

De Emotet banking Trojan werd voor het eerst geïdentificeerd door beveiligingsonderzoekers in 2014. Emotet was oorspronkelijk ontworpen als een bankmalware die probeerde binnen te sluipen op uw computers en gevoelige en privégegevens te stelen. In latere versies van de software werden spamming- en malware-diensten toegevoegd, waaronder andere Trojaanse paarden voor bankieren.

Emotet gebruikt functionaliteit waarmee de software detectie door sommige anti-malwareproducten kan omzeilen. Emotet gebruikt wormachtige mogelijkheden om zich te verspreiden naar andere aangesloten computers. Dit helpt bij de verspreiding van de malware. Deze functionaliteit heeft ertoe geleid dat het Department of Homeland Security heeft geconcludeerd dat Emotet een van de meest kostbare en destructieve malware is, die zowel de overheid als particuliere sectoren, individuen en organisaties treft en waarvan het opruimen meer dan $1 miljoen per incident kost.

Wat is Emotet?

Emotet is een Trojaans paard dat voornamelijk wordt verspreid via spam e-mails(malspam). De infectie kan binnenkomen via een kwaadaardig script, documentbestanden met macro's of een kwaadaardige koppeling. Emotet e-mails kunnen bekende branding bevatten die is ontworpen om eruit te zien als een legitieme e-mail. Emotet kan proberen gebruikers over te halen om op de schadelijke bestanden te klikken door verleidelijke taal te gebruiken over "uw Factuur," "Betalingsgegevens," of mogelijk een aanstaande zending van bekende pakketbedrijven.

Emotet heeft een aantal iteraties doorgemaakt. Vroege versies kwamen binnen als een schadelijk JavaScript-bestand. Latere versies maakten gebruik van macro-documenten om de payload van het virus op te halen van command-and-control (C&C) servers van de aanvallers. 

Emotet gebruikt een aantal trucs om detectie en analyse te voorkomen. Emotet weet met name of het draait in een virtuele machine (VM) en zal sluimeren als het een sandbox-omgeving detecteert. Dit is een hulpmiddel dat cyberbeveiligingsonderzoekers gebruiken om malware te observeren binnen een veilige, gecontroleerde ruimte.

Emotet gebruikt ook C&C servers om updates te ontvangen. Dit werkt op dezelfde manier als de updates van het besturingssysteem op uw PC en kan naadloos en zonder uiterlijke tekenen gebeuren. Hierdoor kunnen de aanvallers bijgewerkte versies van de software installeren, extra malware installeren zoals andere Trojaanse paarden voor bankieren of als dumpplaats fungeren voor gestolen informatie zoals financiële gegevens, gebruikersnamen en wachtwoorden en e-mailadressen.

Emotet nieuws

Hoe verspreidt Emotet zich?

De primaire distributiemethode voor Emotet is via malspam. Emotet plundert uw contactenlijst en stuurt zichzelf naar uw vrienden, familie, collega's en klanten. Omdat deze e-mails afkomstig zijn van uw gekaapt e-mailaccount, lijken de e-mails minder op spam en zijn de ontvangers, die zich veilig voelen, eerder geneigd om op slechte URL's te klikken en geïnfecteerde bestanden te downloaden.

Als er een verbonden netwerk aanwezig is, verspreidt Emotet zich met behulp van een lijst met veelgebruikte wachtwoorden en raadt het zijn weg naar andere verbonden systemen in een brute-force aanval. Als het wachtwoord voor de belangrijke personeelsserver simpelweg "wachtwoord" is, dan is het waarschijnlijk dat Emotet daar zijn weg vindt.

Onderzoekers dachten aanvankelijk dat Emotet zich ook verspreidde met behulp van de EternalBlue/DoublePulsar kwetsbaarheden, die verantwoordelijk waren voor de WannaCry en NotPetya aanvallen. We weten nu dat dit niet het geval is. Wat onderzoekers tot deze conclusie bracht, was het feit dat TrickBot, een Trojan die vaak wordt verspreid door Emotet, gebruikmaakt van de EternalBlue-exploit om zichzelf over een bepaald netwerk te verspreiden. Het was TrickBot, niet Emotet, die misbruik maakte van de EternalBlue/DoublePulsar kwetsbaarheden.

Wat is de geschiedenis van Emotet?

Emotet werd voor het eerst ontdekt in 2014 en blijft tot op de dag van vandaag systemen infecteren en gebruikers pijn doen. Daarom hebben we het er nog steeds over, in tegenstelling tot andere trends uit 2014 (Ice Bucket Challenge anyone?).

Versie één van Emotet was ontworpen om bankgegevens te stelen door internetverkeer te onderscheppen. Kort daarna werd een nieuwe versie van de software ontdekt. Deze versie, Emotet versie twee genaamd, werd geleverd met verschillende modules, waaronder een geldtransfersysteem, malspammodule en een bankmodule die gericht was op Duitse en Oostenrijkse banken.

"Huidige versies van de Emotet Trojan bevatten de mogelijkheid om andere malware te installeren op geïnfecteerde machines. Deze malware kan andere bank Trojaanse paarden of malspam leveringsdiensten bevatten."

In januari 2015 verscheen er een nieuwe versie van Emotet. Versie drie bevatte stealth-aanpassingen om de malware onder de radar te houden en voegde nieuwe Zwitserse bankdoelen toe.

Fast forward naar 2018-nieuwe versies van de Emotet Trojan bevatten de mogelijkheid om andere malware te installeren op geïnfecteerde machines. Deze malware kan andere Trojaanse paarden en ransomware bevatten. Een voorbeeld: een aanval van Emotet op Lake City, Florida in juli 2019 kostte de stad volgens Gizmodo 460.000 dollar aan uitbetaalde ransomware. Uit een analyse van de aanval bleek dat Emotet alleen diende als initiële infectievector. Eenmaal geïnfecteerd, downloadde Emotet een andere Trojaanse bank Trojaan bekend als TrickBot en de Ryuk ransomware.

Na relatief rustig te zijn geweest in het grootste deel van 2019, kwam Emotet sterk terug. In september 2019rapporteerde Malwarebytes Labs over een botnet-gestuurde spamcampagne gericht op Duitse, Poolse, Italiaanse en Engelse slachtoffers met handig geformuleerde onderwerpregels als "Betalingsadvies" en "Achterstallige factuur". Het openen van het geïnfecteerde Microsoft Word-document start een macro, die op zijn beurt Emotet downloadt van gecompromitteerde WordPress-sites.

Op wie richt Emotet zich?

Iedereen is een doelwit voor Emotet. Tot nu toe heeft Emotet individuen, bedrijven en overheidsinstellingen in de Verenigde Staten en Europa getroffen, waarbij banklogins, financiële gegevens en zelfs Bitcoin-portefeuilles zijn gestolen.

Een opmerkelijke Emotet-aanval op de stad Allentown, PA, vereiste directe hulp van Microsofts incidentresponsteam om op te ruimen en kostte de stad naar verluidt meer dan $1 miljoen om op te lossen.

Nu Emotet wordt gebruikt om andere bank Trojaanse paarden te downloaden en af te leveren, is de lijst van doelwitten mogelijk nog breder. Vroege versies van Emotet werden gebruikt om bankklanten in Duitsland aan te vallen. Latere versies van Emotet waren gericht op organisaties in Canada, het Verenigd Koninkrijk en de Verenigde Staten.

"Een opmerkelijke Emotet-aanval op de stad Allentown, PA vereiste directe hulp van Microsofts incidentresponsteam om op te ruimen en kostte de stad naar verluidt meer dan $1 miljoen om op te lossen."

Hoe kan ik mezelf beschermen tegen Emotet?

uDe eerste stap om jezelf en uw gebruikers te beschermen tegen Emotet is al gezet door te leren hoe Emotet werkt. Hier zijn een paar extra stappen die u kan nemen:

  1. Houd uw computers/eindpunten up-to-date met de nieuwste patches voor Microsoft Windows. TrickBot wordt vaak geleverd als een secundaire Emotet payload, en we weten dat TrickBot vertrouwt op de Windows EternalBlue kwetsbaarheid om zijn vuile werk te doen, dus patch die kwetsbaarheid voordat de cybercriminelen er hun voordeel mee kunnen doen.
  2. Download geen verdachte bijlagen en klik niet op een link die er verdacht uitziet. Emotet kan geen voet aan de grond krijgen op uw systeem of netwerk als u deze verdachte e-mails vermijdt. Neem de tijd om uw gebruikers te leren hoe ze malspam kunnen herkennen.
  3. Informeer jezelf en uw gebruikers over het maken van een sterk wachtwoord. Als je toch bezig bent u, begin dan ook met het gebruik van twee-factor authenticatie.
  4. u kunt uzelf en uw gebruikers beschermen tegen Emotet met een robuust cyberbeveiligingsprogramma dat meerlaagse bescherming omvat. Malwarebytes zakelijke en hoogwaardige consumentenproducten detecteren en blokkeren Emotet in realtime.  

Hoe kan ik Emotet verwijderen?

Als u vermoedt dat u'al is geïnfecteerd door Emotet, schrik dan niet. Als uw computer is aangesloten op een netwerk, isoleer deze dan onmiddellijk. Eenmaal geïsoleerd, gaat u verder met het patchen en opschonen van het geïnfecteerde systeem. Maar u'zijn nog niet klaar. Door de manier waarop Emotet zich verspreidt over uw netwerk, kan een schone computer opnieuw worden geïnfecteerd wanneer deze weer wordt aangesloten op een geïnfecteerd netwerk. Maak elke computer op uw netwerk één voor één schoon. Het is een vervelend proces, maar Malwarebytes zakelijke oplossingen kunnen het gemakkelijker maken, door geïnfecteerde eindpunten te isoleren en te herstellen en proactieve bescherming te bieden tegen toekomstige Emotet-infecties.

Als weten het halve werk is, ga dan naar de Malwarebytes Labs en u kan meer te weten komen over hoe Emotet detectie omzeilt en hoe de code van Emotet werkt.