Overslaan naar hoofdinhoud
13 april 2022

Het beruchte botnet is terug: Emotets activiteit verdrievoudigde in slechts een maand

Emotet, een botnet en volgens Europol "de gevaarlijkste malware ter wereld", vertoonde in maart 2022 een wereldwijde groei van meer dan 200%, zo blijkt uit telemetrie van Kaspersky. Deze groei wijst erop dat de dreigingsactoren achter het botnet stappen hebben ondernomen om hun kwaadaardige activiteiten voor het eerst sinds de comeback in november 2021 aanzienlijk op te voeren. Deze bevindingen maken deel uit van het nieuwste Kaspersky-onderzoek dat de modules en recente activiteit van Emotet ontleedt.

Emotet is zowel een botnet, een gecontroleerd netwerk van geïnfecteerde apparaten dat wordt gebruikt voor aanvallen op andere apparaten, als malware die in staat is om verschillende soorten data, vaak met betrekking tot financiën, uit geïnfecteerde apparaten te halen. Het wordt beheerd door ervaren dreigingsactoren en is uitgegroeid tot een van de grootste spelers in de cybercriminele wereld. Emotet werd in januari 2021 uitgeschakeld na een gezamenlijke inspanning van diverse rechtshandhavingsinstanties uit verschillende landen. In november 2021 keerde het botnet echter terug en sindsdien is het geleidelijk aan actiever geworden. Eerst door zich te verspreiden via Trickbot, een ander botnetwerk, en nu zelf door middel van kwaadaardige spamcampagnes.

Kaspersky telemetrie laat zien dat het aantal slachtoffers omhoog is geschoten van 2.843 in februari 2022 naar 9.086 in maart, waarbij meer dan drie keer zoveel gebruikers zijn aangevallen. Het aantal aanvallen dat door Kaspersky-oplossingen is gedetecteerd, is navenant gegroeid - van 16.897 in februari 2022 tot 48.597 in maart.

Groei van het aantal Emotet-detecties, november 2021-maart 2022  

Een typische Emotet-infectie begint met spamberichten die Microsoft Office-bijlagen bevatten met een kwaadaardige macro. Met behulp van deze macro kan de actor een kwaadaardig PowerShell-commando starten om een installatieprogramma te starten, die vervolgens kan communiceren met een command-and-control server om modules te downloaden en te starten. Deze modules kunnen allerlei verschillende taken uitvoeren op het geïnfecteerde apparaat. Onderzoekers van Kaspersky konden 10 van de 16 modules achterhalen en analyseren, waarbij de meeste in het verleden in een bepaalde vorm door Emotet zijn gebruikt.  

De huidige versie van Emotet kan geautomatiseerde spamcampagnes opzetten die vanaf de geïnfecteerde apparaten verder over het netwerk worden verspreid, e-mails en e-mailadressen uit Thunderbird- en Outlook-applicaties extraheren en wachtwoorden verzamelen van populaire webbrowsers, zoals Internet Explorer, Mozilla Firefox, Google Chrome, Safari en Opera, om zo de accountgegevens van verschillende e-mailadressen te verzamelen.  

Alexey Shulmin, security-onderzoeker bij Kaspersky: "Emotet was een zeer geavanceerd netwerk dat veel organisaties over de hele wereld achtervolgde. De uitschakeling ervan was een belangrijke stap in de richting van het terugdringen van bedreigingen wereldwijd door hun netwerk uit elkaar te halen en het voor meer dan een jaar van de lijst met grootste bedreigingen te halen. Hoewel het aantal aanvallen niet vergelijkbaar is met de eerdere omvang van de activiteiten van Emotet, wijst de verandering in dynamiek op een significante activering van de operators van het botnet en een grote kans dat deze dreiging zich de komende maanden verder verspreidt.”   Bekijk de documentaire over Emotet's takedown op Tomorrow Unlocked. Kijk voor meer informatie over Emotet-modules op Securelist.com.

Het beruchte botnet is terug: Emotets activiteit verdrievoudigde in slechts een maand

Emotet, een botnet en volgens Europol "de gevaarlijkste malware ter wereld", vertoonde in maart 2022 een wereldwijde groei van meer dan 200%, zo blijkt uit telemetrie van Kaspersky. Deze groei wijst erop dat de dreigingsactoren achter het botnet stappen hebben ondernomen om hun kwaadaardige activiteiten voor het eerst sinds de comeback in november 2021 aanzienlijk op te voeren. Deze bevindingen maken deel uit van het nieuwste Kaspersky-onderzoek dat de modules en recente activiteit van Emotet ontleedt.
Kaspersky Logo

Verwant artikel Virusnieuws

  • 200.000 nieuwe Trojaanse paarden voor mobiel bankieren ontdekt, het dubbele van 2021

    In 2022 ontdekten Kaspersky-experts bijna 200.000 nieuwe Trojaanse paarden voor mobiel bankieren, een verdubbeling ten opzichte van de cijfers van het jaar daarvoor. Deze alarmerende stijging van het aantal Trojaanse paarden voor mobiel bankieren is tevens de hoogste ooit die in de afgelopen zes jaar is gerapporteerd. Deze en andere bevindingen staan in het rapport 'The mobile malware threat landscape in 2022' van Kaspersky.
    Lees meer >

  • OnionPoison: geïnfecteerd Tor Browser-installatieprogramma verspreidt zich via populair YouTube-kanaal

    Onlangs ontdekten onderzoekers van Kaspersky een lopende kwaadaardige campagne die wordt verspreid via een YouTube-kanaal met meer dan 180.000 abonnees. Cybercriminelen verspreiden malware om persoonlijke gegevens van gebruikers te verzamelen en volledige controle over de computer van het slachtoffer te krijgen. Dit doen de cybercriminelen door in de beschrijving van een video over het darknet een link naar een geïnfecteerde versie van Tor Browser te plaatsen.
    Lees meer >

  • Beruchte Prilex-dreigingsactor verkoopt wereldwijd nieuwe gevaarlijke en geavanceerde PoS-malware

    De Prilex-dreigingsgroep, bekend om het stelen van miljoenen dollars van banken, heeft een aanzienlijke ontwikkeling doorgemaakt. Dit ontdekten onderzoekers van Kaspersky. Prilex heeft zijn tools opgewaardeerd van een eenvoudige geheugenschraper tot een geavanceerde en complexe malware. Deze is nu gericht op modulaire Point of Sales (PoS)-terminals. Cybercriminelen verkopen hun malware ook actief op het darknet als Malware-as-a-Service, waardoor deze nu beschikbaar is voor andere fraudeurs en het risico voor bedrijven wereldwijd toeneemt om geld te verliezen.
    Lees meer >