Wat is Emotet?
Emotet is een computermalwareprogramma dat oorspronkelijk is ontwikkeld als een zogeheten banking-trojan. Het doel van deze malware was het binnendringen van apparaten en onderscheppen van gevoelige privégegevens. Emotet is een meester in het omzeilen van gewone anti-virusprogramma's. Na infectie van het apparaat verspreidt de malware zich als een computerworm en probeert hij andere computers in het netwerk te infiltreren.
Emotet verspreidt zich voornamelijk via spamberichten. De e-mail bevat een schadelijke link of een geïnfecteerd document met geactiveerde macro's. Als je het document downloadt of de link opent, wordt er automatisch meer malware op je computer gedownload. De e-mails zien er heel authentiek uit.
De term Emotet
Emotet werd voor het eerst gedetecteerd in 2014, toen klanten van Duitse en Oostenrijkse banken door de trojan werden getroffen. Emotet had toegang gekregen tot de inloggegevens van deze klanten. In de jaren die volgden, wist de malware zich over de hele wereld te verspreiden.
Sinds die tijd heeft Emotet zich ontwikkeld van een banking-trojan tot een dropper, wat inhoudt dat de trojan malware laadt. Deze malware is daarna verantwoordelijk voor de echte schade aan het systeem. In de meeste gevallen zijn de volgende programma's betrokken:
- Trickbot: Een banking-trojan die toegang probeert te krijgen tot inloggegevens voor bankrekeningen.
- Ryuk: Een encryptietrojan – ook wel bekend als een cryptotrojan of ransomware – versleutelt gegevens en belet de computergebruiker daarmee toegang tot de gegevens. Ook kan hierbij het hele systeem vergrendeld worden.
De cybercriminelen achter Emotet willen hun slachtoffers vaak afpersen. Ze dreigen bijvoorbeeld de versleutelde gegevens te publiceren of ze nooit meer vrij te geven. Meestal verwijst Emotet naar het complete proces van infectie door, en downloaden en verspreiden van extra malware.
Wie vormen het doelwit van Emotet?
Particulieren, bedrijven, organisaties en overheidsinstanties. In 2018 moest het medisch centrum in Fürstenfeldbruck 450 computers uitschakelen en het coördinatiecentrum voor spoedgevallen platleggen na een infectie met Emotet. In september 2019 werd het Kammergericht, de hoogste staatsrechtbank voor de stadstaat Berlijn, getroffen, in december van dat jaar gevolgd door de Universiteit van Giessen.
De medische hogeschool van Hannover en het stadsbestuur van Frankfurt am Main werden ook geïnfecteerd door Emotet. Het aantal getroffen bedrijven wordt vele malen hoger geschat. Het vermoeden bestaat dat veel geïnfecteerde bedrijven de infectie niet willen melden uit angst voor reputatieschade of verdere aanvallen.
In de begindagen van Emotet waren vooral bedrijven het doelwit, maar de trojan richt zich tegenwoordig voornamelijk op particulieren.
Welke apparaten worden bedreigd door Emotet?
Oorspronkelijk werden er alleen Emotet-infecties gedetecteerd op recentere versies van het Microsoft Windows-besturingssysteem. Begin 2019 werd bekendgemaakt dat computers van Apple ook door Emotet waren getroffen. De cybercriminelen lokten gebruikers in de val met een nepmail van Apple Support waarin werd beweerd dat het bedrijf ‘beperkte toegang tot uw klantaccount’ had. In de e-mail stond verder dat gebruikers op een link moesten klikken om te voorkomen dat bepaalde Apple-services zouden worden gedeactiveerd en verwijderd.
Hoe de Emotet-trojan zich verspreidt
Emotet verspreidt zich voornamelijk via zogenaamde Outlook harvesting. De trojan leest e-mails van reeds geïnfecteerde gebruikers en creëert content die bedrieglijk echt lijkt. Deze e-mails lijken authentiek en persoonlijk, en onderscheiden zich daarmee van gewone spamberichten. Emotet stuurt deze phishingmails door naar opgeslagen contacten, d.w.z. vrienden, familieleden, collega's of je baas.
De e-mails bevatten meestal een geïnfecteerd Word-document dat moet worden gedownload, of een gevaarlijke link. Er wordt altijd een correcte naam weergegeven als afzender. Het idee dat het een normale, persoonlijke e-mail van jou is geeft de ontvangers onterecht een gevoel van veiligheid, waardoor ze zich laten verleiden om op de gevaarlijke link of de geïnfecteerde bijlage te klikken.
Zodra Emotet toegang heeft tot een netwerk, kan deze trojan zich verder verspreiden. Hierbij wordt geprobeerd via de bruteforcemethode de wachtwoorden van je accounts te kraken. Emotet verspreidt zich ook via het EternalBlue-beveiligingslek en de DoublePulsar-kwetsbaarheid in Windows, waarmee de malware kan worden geïnstalleerd zonder menselijke tussenkomst. In 2017 wist de WannaCry-afpersingstrojan de EternalBlue-exploit te gebruiken voor een serieuze cyberaanval en daarmee chaos te veroorzaken.
Emotet: Malware-infrastructuur vernietigd
Eind januari 2021 kondigden de officier van justitie in Frankfurt am Main – de centrale dienst in de strijd tegen internetcriminaliteit (StA) – en de Duitse federale recherchedienst (BKA) aan dat de Emotet-infrastructuur was ‘overgenomen en vernietigd’ als onderdeel van een gezamenlijke internationale inspanning. Wetshandhavingsinstanties uit Duitsland, Nederland, Oekraïne, Frankrijk en Litouwen én uit het VK, Canada en de VS waren bij de operatie betrokken.
De instanties beweren dat ze erin zijn geslaagd meer dan 100 servers van de Emotet-infrastructuur te deactiveren, waarvan 17 al in Duitsland alleen. Deze bleken het begin van het spoor. De FCO had gegevens verzameld en wist na verdere analyse nog meer servers binnen Europa op te sporen.
Volgens de FCO was de infrastructuur van de Emotet-malware vernietigd en onschadelijk gemaakt. De autoriteiten in Oekraïne waren erin geslaagd de infrastructuur over te nemen en meerdere computers, harde schijven, geld en goudstaven in beslag te nemen. De volledige operatie werd gecoördineerd door Europol en Eurojust, het agentschap van de Europese Unie voor justitiële samenwerking in strafzaken.
Door de controle over de infrastructuur van Emotet over te nemen, lukte het de autoriteiten de malware op de systemen van de Duitse slachtoffers onbruikbaar te maken voor de cybercriminelen. Om te voorkomen dat daders de controle weer terugkregen, zetten de taskforces de malware op de getroffen systemen in quarantaine. Daarnaast pasten ze de communicatieparameters van de software zo aan dat deze met een speciaal opgezette infrastructuur kon communiceren die als enig doel had het bewijsmateriaal te beschermen. Gedurende het proces kregen de autoriteiten ook nog informatie over de getroffen systemen van de slachtoffers, waaronder hun openbare IP-adressen. Deze werden doorgestuurd naar de Duitse federale dienst voor IT-beveiliging (BSI, Bundesamt für Sicherheit in der Informationstechnik).
Wie zitten er achter Emotet?
De Federale dienst voor Informatiebeveiliging (BSI) denkt dat ‘de ontwikkelaars van Emotet hun software en infrastructuur aan derde partijen verhuren’. Zij benutten op hun beurt aanvullende malware om hun eigen doelstellingen te verwezenlijken. De BSI is van mening dat de motieven van de criminelen financieel van aard zijn en dat er sprake is van cybercriminaliteit, en niet van spionage.
Niemand lijkt te weten wie er achter Emotet zit. De geruchten gaan dat de malware afkomstig is uit Rusland of Oost-Europa, maar hier zijn geen harde bewijzen voor.
Emotet: Zeer destructieve malware
Het Amerikaanse Ministerie van Binnenlandse Veiligheid concludeerde dat Emotet een bijzonder kostbaar stuk software is met een enorm verwoestende kracht. De herstelkosten worden geraamd op ongeveer één miljoen dollar per incident. Dat is de reden dat Arne Schönbohm, hoofd van de BSI, Emotet de ‘koning van malware’ noemt.
Emotet behoort zonder twijfel tot de meeste complexe en gevaarlijke malwareprogramma's uit de geschiedenis. De malware is polymorf, wat betekent dat de code iets verandert elke keer als deze gebruikt wordt. Daardoor kan anti-virussoftware de malware moeilijk herkennen; veel anti-virusprogramma's gebruiken definitiegebaseerde zoekmethoden. In februari 2020 ontdekten beveiligingsonderzoekers van Binary Search dat Emotet nu ook wifi-netwerken aanvalt. Wanneer een geïnfecteerd apparaat verbinding maakt met een draadloos netwerk, scant Emotet alle draadloze netwerken in de buurt. Met behulp van een lijst wachtwoorden probeert de malware vervolgens toegang tot de netwerken te krijgen en daarmee andere apparaten te infecteren.
Cybercriminelen buiten graag angst uit onder de bevolking. Het is daarom geen verrassing dat de angst voor het coronavirus, dat sinds december 2019 wereldwijd circuleert, ook door Emotet wordt benut. De cybercriminelen achter de trojan sturen vaak valse e-mails waarin wordt beweerd dat er informatie over COVID-19 in staat om de bevolking te informeren. Als je een dergelijke e-mail in je inbox aantreft, moet je zeer voorzichtig zijn met bijlagen of links in het bericht.
Hoe kan ik mezelf beschermen tegen Emotet?
Vertrouw niet alleen op anti-virusprogramma's om je te beschermen tegen Emotet en andere trojans. Want per slot van rekening is het signaleren van de polymorfe malware nog maar het begin van de problemen voor eindgebruikers. Simpel gezegd is er geen oplossing die 100% bescherming biedt tegen Emotet of andere trojans die van gedaante kunnen wisselen. Technische en organisatorische voorzorgsmaatregelen kunnen het risico op infectie minimaliseren. Dit zijn de voorzorgsmaatregelen die je zou moeten nemen ter bescherming tegen Emotet:
- Blijf altijd up-to-date! Laat jezelf regelmatig informeren over de ontwikkelingen omtrent Emotet. Daarvoor bestaan verschillende manieren, zoals de BSI-nieuwsbrief, onze nieuwsbrief van Kaspersky of door zelf op onderzoek uit te gaan.
- Beveiligingsupdates: Zorg dat je updates van producenten zo snel mogelijk installeert om mogelijke zwakke plekken in je beveiliging te elimineren. Dat geldt voor besturingssystemen als Windows en macOS, maar ook voor applicaties, browsers, browserextensies, e-mailclients, Office- en PDF-programma's.
- Anti-virussoftware: Zorg dat je een anti-virusprogramma installeert, zoals Kaspersky Internet Security, en scan je computer daarmee regelmatig op kwetsbaarheden. Dat biedt je de beste bescherming tegen de nieuwste virussen, spyware en andere online dreigingen.
- Download geen twijfelachtige bijlagen bij e-mailberichten en klik niet op verdachte links. Als je niet zeker weet of een e-mailbericht echt of nep is, neem dan contact op met degene die het bericht zou hebben verzonden. Word je om toestemming gevraagd om een macro uit te voeren als je een bestand aan het downloaden bent? Doe dat dan in geen geval. Verwijder het bestand onmiddellijk. Op die manier geef je Emotet geen kans om je computer te infecteren.
- Back-ups: Maak regelmatig back-ups van je gegevens op een externe gegevensdrager. Dan heb je in geval van een infectie altijd een back-up om op terug te vallen en verlies je niet al je gegevens op je pc.
- Wachtwoorden: Gebruik alleen sterke wachtwoorden voor alle aanmeldingen (internetbankieren, e-mailaccount, online winkels). Met andere woorden, gebruik niet de naam van je eerste hond, maar liever een willekeurige combinatie van letters, cijfers en speciale tekens. Je kunt deze combinatie zelf bedenken of genereren met programma's zoals Password Managers. Daarnaast bieden veel programma's tegenwoordig de optie van dubbele verificatie.
- Bestandsextensies: Zorg ervoor dat bestandsextensies standaard op je computer worden weergegeven. Dat helpt je dubieuze bestanden als ‘Vacation snap123.jpg.exe’ te herkennen.
Hoe kan ik Emotet verwijderen?
Allereerst: Raak niet in paniek als je vermoedt dat je pc met Emotet is geïnfecteerd. Informeer de mensen om je heen over de infectie, omdat je e-mailcontacten en andere apparaten die met je netwerk zijn verbonden mogelijk ook risico lopen.
Isoleer vervolgens de computer als deze is verbonden met het netwerk om te voorkomen dat Emotet zich verder verspreidt. Wijzig daarna alle toegangsgegevens voor je accounts, d.w.z. e-mailaccounts, webbrowsers, etc.
Omdat Emotet polymorf is en de code altijd iets verandert wanneer ertoe toegang wordt verkregen, kan een opgeschoonde computer snel opnieuw worden geïnfecteerd wanneer deze wordt verbonden met een geïnfecteerd netwerk. Daarom moet je alle computers die zijn verbonden met je netwerk een voor een opschonen. Gebruik daarvoor een anti-virusprogramma. Je kunt ook contact opnemen met een specialist, zoals de leverancier van je anti-virussoftware.
EmoCheck: Helpt deze tool echt tegen Emotet?
Het Japanse CERT (Computer Emergency Response Team) heeft een tool met de naam EmoCheck gemaakt, waarmee volgens hen computers kunnen worden gecontroleerd op Emotet-infecties. Tip: Gebruik de tool om een mogelijke infectie door bekende versies van Emotet te detecteren. Maar let goed op. Omdat Emotet polymorf is, kan zelfs EmoCheck niet met 100% zekerheid garanderen dat je computer niet is geïnfecteerd. EmoCheck gebruikt een methode om karakteristieke tekenreeksen te herkennen en waarschuwt je daarmee voor een trojan. Maar door de veranderlijkheid van de malware is er geen garantie dat je computer echt helemaal schoon is.
Een samenvatting van Emotet
De trojan Emotet is een van de gevaarlijkste malwareprogramma's uit de IT-geschiedenis. Iedereen kan het slachtoffer worden: particulieren, bedrijven en zelfs overheidsinstanties. Nadat de trojan het systeem is binnengedrongen, laadt deze andere malware die toegangsgegevens onderschept en gegevens versleutelt. Vaak worden de slachtoffers van de malware gechanteerd en moeten ze losgeld betalen om hun gegevens terug te krijgen. Helaas is er geen oplossing die volledige bescherming biedt tegen een Emotet-infectie. Er zijn diverse maatregelen die je kunt nemen om het risico op infectie laag te houden. Als je vermoedt dat je computer met Emotet is geïnfecteerd, moet je de bovenstaande maatregelen nemen om Emotet van je computer te verwijderen.
Deze beveiligingsoplossingen bieden bescherming tegen trojans, virussen en ransomware:
Gerelateerde artikelen:
LockBit-ransomware – Wat je moet weten
Wat is Emotet?
Kaspersky
