Emotet: Hoe je je het beste beschermt tegen de trojan

Wat is Emotet?

Emotet is een computermalwareprogramma dat oorspronkelijk is ontwikkeld als bankingtrojan. Deze was bedoeld om toegang tot externe apparaten te krijgen en gevoelige privacygegevens buit te maken. Het is bekend dat Emotet eenvoudige anti-virusprogramma's kan misleiden en er onzichtbaar voor blijft. Na de infectie verspreidt de malware zich als een computerworm en probeert het andere computers in het netwerk te infiltreren.

Emotet verspreidt zich voornamelijk via spamberichten. Het desbetreffende e-mailbericht bevat een schadelijke link of een geïnfecteerd document. Als je het document downloadt of de link opent, wordt automatisch aanvullende malware gedownload naar je computer. Deze e-mailberichten zien er zeer authentiek uit en veel mensen zijn slachtoffer geworden van Emotet.

Emotet - term en definitie

Emotet werd voor het eerst gedetecteerd in 2014, toen klanten van Duitse en Oostenrijkse banken worden getroffen door de trojan. Emotet had toegang verkregen tot de aanmeldingsgegevens van de klanten. In de volgende jaren zou het virus zich wereldwijd verspreiden.

Emotet heeft zich van bankingtrojan ontwikkeld tot dropper, wat betekent dat de trojan malware laadt op apparaten. Deze zijn daarna verantwoordelijk voor de uiteindelijke schade aan het systeem.

In de meeste gevallen werden de volgende programma's ‘gedropt’:

Trickster (ook bekend als TrickLoader en TrickBot): Een bankingtrojan die toegang probeert te krijgen tot de aanmeldingsgegevens voor bankrekeningen.
Ryuk: Een encryptietrojan – ook bekend als cryptotrojan of ransomware – versleutelt gegevens en blokkeert daardoor gebruikerstoegang tot de gegevens of het hele systeem.

De cybercriminelen achter Emotet willen hun slachtoffers vaak afpersen. Ze dreigen bijvoorbeeld om de geëncrypte gegevens waartoe ze toegang hebben gekregen te publiceren of vrij te geven.

Wie zijn de doelwitten van Emotet?

Emotet richt zich op personen, maar ook op bedrijven, organisaties en instanties. In 2018 moest het Fürstenfeldbruck-ziekenhuis in Duitsland vanwege een Emotet-infectie 450 computers uitschakelen en zich afmelden van de alarmcentrale om de infectie te bestrijden. In september 2019 werd de hoogste rechtbank van de deelstaat Berlijn getroffen en in december 2019 de universiteit van Giessen. De medische universiteit van Hannover en het stadsbestuur van Frankfurt am Main werden ook geïnfecteerd door Emotet.

Dit zijn slechts een paar voorbeelden van Emotet-infecties. Naar schatting is het niet bekendgemaakte aantal getroffen bedrijven veel hoger. Er wordt ook verondersteld dat veel geïnfecteerde bedrijven de gegevensinbreuk niet melden uit angst voor reputatieschade.

Houd er ook rekening mee dat Emotet zich in het begin vooral richtte op bedrijven en organisaties, maar nu primair personen als doelwit heeft.

Welke apparaten worden bedreigd door Emotet?

Oorspronkelijk werden er alleen Emotet-infecties gedetecteerd op recentere versie van het Microsoft Windows-besturingssysteem. Begin 2019 werd het echter duidelijk dat computers van Apple ook waren getroffen door Emotet. De criminelen lokten gebruikers in de val met een vervalst e-mailbericht van Apple Support. Volgens het bericht zou Apple de toegang tot de account beperken als de gebruiker niet zou reageren. Slachtoffers moesten een link volgen om zogenaamd te voorkomen dat hun Apple-services werden gedeactiveerd en verwijderd.

Hoe verspreid de Emotet-trojan zich?

Emotet wordt voornamelijk verspreid via zogenaamde Outlook harvesting. De trojan leest e-mailberichten van gebruikers die al zijn geïnfecteerd en creëert ogenschijnlijk echte berichten. Deze e-mails zijn schijnbaar legitiem en persoonlijk, en onderscheiden zich daardoor van gewone spamberichten. Emotet verzendt deze phishing-e-mails naar opgeslagen contactpersonen zoals vrienden, familieleden en collega's.

Meestal bevatten de e-mailberichten een gevaarlijke link of een geïnfecteerd Word-document dat de ontvanger moet downloaden. Er wordt altijd een correcte naam weergegeven als verzender. Ontvangers denken dus dat het veilig is: het ziet er helemaal uit als een legitiem e-mailbericht. Ze klikken vervolgens (in de meeste gevallen) op de gevaarlijke link of downloaden de geïnfecteerde bijlage.

Zodra Emotet toegang heeft tot een netwerk, kan het zich verspreiden. Daarbij probeert het accountwachtwoorden te kraken met de bruteforcemethode. Emotet verspreidt zich ook via de EternalBlue-exploit en de DoublePulsar-kwetsbaarheid in Windows, waarmee de malware kan worden geïnstalleerd zonder menselijke tussenkomst. In 2017 kon de afpersingstrojan WannaCry gebruikmaken van de EternalBlue-exploit om een grote cyberaanval uit te voeren die enorme schade veroorzaakte.

Wie zitten achter Emotet?

Het Duitse Bundesamt für Sicherheit in der Informationstechnik (het federale bureau voor informatiebeveiliging, BSI) gelooft dat

"de ontwikkelaars van Emotet hun software en infrastructuur verhuren aan derden".

Ze benutten ook aanvullende malware om hun eigen doelstellingen te verwezenlijken. Het BSI denkt dat de criminelen financiële motieven hebben en noemen het daarom cybercriminaliteit — niet spionage. Toch kan niemand duidelijk aangeven wie er precies achter Emotet zit. Er doen allerlei geruchten de ronde over het land van herkomst, maar er is geen betrouwbaar bewijs.

Hoe gevaarlijk is Emotet?

Het Amerikaanse Ministerie van Binnenlandse Veiligheid heeft geconcludeerd dat Emotet bijzonder dure software is met een enorme verwoestende kracht. De herstelkosten worden geraamd op ongeveer één miljoen dollar per incident. Daarom noemt Arne Schoenbohm, hoofd van het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI), Emotet de "koning van malware".

Emotet behoort zonder twijfel tot de meeste complexe en gevaarlijke malware in de geschiedenis. Het virus is polymorf, wat betekent dat de code enigszins verandert wanneer ertoe toegang wordt verkregen.

Daardoor kan anti-virussoftware het virus moeilijk herkennen: veel anti-virusprogramma's gebruiken definitiegebaseerde zoekmethoden. In februari 2020 ontdekten beveiligingsonderzoekers van Binary Search dat Emotet nu ook wifinetwerken aanvalt. Wanneer een geïnfecteerd apparaat verbinding maakt met een draadloos netwerk, scant Emotet alle draadloze netwerken in de buurt. Vervolgens probeert het virus aan de hand van een lijst met wachtwoorden toegang tot deze netwerken te krijgen om andere apparaten te infecteren.

Cybercriminelen profiteren graag van de angst van burgers. Het is daarom geen verrassing dat de angst voor het coronavirus, dat wereldwijd circuleert sinds december 2019, ook wordt benut door Emotet. De cybercriminelen achter de trojan maken regelmatig e-mailberichten na die zijn bedoeld om informatie over het coronavirus te bieden en burgers voor te lichten. Als je een dergelijke e-mail aantreft in je inbox, moet je heel voorzichtig zijn met bijlagen of links in het e-mailbericht.

Hoe kan ik mijzelf beschermen tegen Emotet?

Om je te beschermen tegen Emotet en andere trojans kun je niet alleen maar op anti-virusprogramma's vertrouwen. Het detecteren van het polymorfe virus is slechts de eerste stap voor eindgebruikers. Er is simpelweg geen oplossing die volledige bescherming biedt tegen Emotet of andere voortdurend veranderende trojans. Alleen door organisatorische en technische maatregelen te treffen, kun je het gevaar van infectie tot een minimum beperken.

Hier volgen enige tips om jezelf te beschermen tegen Emotet:

Blijf op de hoogte. Zorg dat je voortdurend op de hoogte blijft van nieuwe ontwikkelingen betreffende Emotet. Je kunt dit op verschillende manieren doen, bijvoorbeeld door artikelen in het Kaspersky Resource Center te lezen of zelf onderzoek te doen.
Beveiligingsupdates: het is essentieel dat je zo snel mogelijk updates van fabrikanten installeert om eventuele beveiligingslekken te voorkomen. Dit geldt voor besturingssystemen zoals Windows en macOS, maar ook voor applicaties, browsers, browserextensies, e-mailclients, Office en PDF-programma's.
Bescherming tegen virussen: Zorg dat je complete bescherming tegen virussen en malware installeert, zoals Kaspersky Internet Security, en scan je computer daarmee regelmatig op kwetsbaarheden. Dit biedt je de beste bescherming tegen de laatste virussen, spyware, enzovoort.
Download geen twijfelachtige bijlagen bij e-mailberichten en klik niet op verdachte links. Als je niet zeker weet of een e-mailbericht echt of vervalst is, moet je risico's vermijden en contact opnemen met de verzender. Als je wordt gevraagd om een macro uit te voeren op een gedownload bestand, moet je dat in geen geval doen, maar moet je het bestand direct verwijderen. Op deze manier geef je Emotet geen kans om je computer te infecteren.
Maak regelmatig back-ups van je gegevens op een extern opslagapparaat. Dan heb je in geval van een infectie altijd een back-up om op terug te vallen en verlies je niet al je gegevens op je apparaat.
Gebruik alleen sterke wachtwoorden voor alle aanmeldingen (online bankieren, e-mailaccount, online winkels). Dit betekent dat je niet de naam van je eerste huisdier maar een willekeurige reeks letters, cijfers en speciale tekens moet gebruiken. Je kunt deze wachtwoorden zelf bedenken of je kunt ze genereren met verschillende programma's. Daarnaast bieden veel programma's tegenwoordig ondersteuning voor dubbele verificatie.
Bestandsextensies: zorg dat bestandsextensies standaard worden weergegeven door je computer. Hierdoor kun je onbetrouwbare bestanden zoals 'Photo123.jpg.exe' ontdekken, die vaak schadelijke programma's zijn.

Hoe kan ik Emotet verwijderen?

Raak allereerst niet in paniek als je vermoedt dat je pc is geïnfecteerd met Emotet. Informeer je persoonlijke kring over de infectie, omdat je e-mailcontacten ook risico lopen.

Isoleer vervolgens de computer als deze is verbonden met het netwerk om te voorkomen dat Emotet zich verder verspreid. Vervolgens moet je al je aanmeldingsgegevens voor al je accounts (e-mailaccounts, webbrowsers, enzovoort) wijzigen. Doe dit op een ander apparaat dat niet is geïnfecteerd en niet met hetzelfde netwerk is verbonden.

Omdat Emotet polymorf is (wat betekent dat de code enigszins verandert wanneer ertoe toegang wordt verkregen), kan een opgeschoonde computer snel opnieuw worden geïnfecteerd wanneer deze wordt verbonden met een geïnfecteerd netwerk. Daarom moet je alle computers die zijn verbonden met je netwerk een voor een opschonen. Gebruik daarvoor een anti-virusprogramma. Voor ondersteuning en hulp kun je ook contact opnemen met een specialist, bijvoorbeeld een leverancier van anti-virussoftware.

EmoCheck: Helpt deze tool echt tegen Emotet?

Het Japanse CERT (Computer Emergency Response Team) heeft een tool met de naam EmoCheck gemaakt, waarmee volgens hen computers kunnen worden gecontroleerd op Emotet-infecties. Maar omdat Emotet polymorf is, kan EmoCheck geen 100% zekerheid bieden dat je computer niet is geïnfecteerd.

EmoCheck detecteert specifieke tekenreeksen en waarschuwt vervolgens voor de potentiële aanwezigheid van een trojan. Maar omdat het virus muteert, is er geen garantie dat je computer werkelijk schoon is — houd daar rekening mee.

Slotoverwegingen

De trojan Emotet behoort werkelijk tot de gevaarlijkste malware in de geschiedenis van cyberbeveiliging. Iedereen kan er slachtoffer van worden – privépersonen, bedrijven en zelfs wereldwijde instanties. Zodra de trojan een systeem heeft geïnfiltreerd, laadt deze andere malware die je bespioneert.

Veel slachtoffers van Emotet worden gechanteerd om losgeld te betalen, in ruil voor toegang tot hun gegevens. Helaas is er geen oplossing die volledige bescherming biedt tegen een Emotet-infectie. Er zijn echter wel diverse maatregelen die je kunt nemen om het risico op een infectie te verminderen.

Als je vermoedt dat je computer is geïnfecteerd met Emotet, moet je de acties die in dit artikel worden vermeld, uitvoeren om je computer op te schonen. Zorg ook dat je wordt beschermd door een uitgebreide anti-virusoplossing, zoals anti-malwareoplossingen van Kaspersky.