Bijgewerkt: 28 maart 2024

Het malware EMOTET netwerk is ontmanteld door wereldwijde actie

Nieuws -> Internet

Bron: Europol/Wikipedia
29-01-2021

Wetshandhavingsinstanties en gerechtelijke autoriteiten over de hele wereld hebben deze week een van de belangrijkste botnets van de afgelopen 10 jaar ontwricht: EMOTET. Rechercheurs hebben nu in een internationaal gecoördineerde actie de controle over de infrastructuur ervan overgenomen - meldt Europol.

Emotet is een malware stam en een cybercriminele operatie gevestigd in Oekraïne. De malware, ook bekend als Heodo, werd voor het eerst gedetecteerd in 2014 en beschouwd als een van de meest voorkomende bedreigingen van In 2021 werden de servers verstoord door wereldwijde politieactie in Duitsland en Oekraïne en onder controle gebracht door de rechtshandhaving.



De eerste versies van de Emotet-malware functioneerden als een banktrojan gericht op het stelen van bankreferenties van geïnfecteerde hosts. In de loop van 2016 en 2017 hebben Emotet-exploitanten, soms bekend onder de naam Mealybug, de trojan geüpdatet en opnieuw geconfigureerd om voornamelijk als een 'loader' te werken, een type malware dat toegang krijgt tot een systeem en zijn exploitanten vervolgens in staat stelt om extra payloads te downloaden. Second-stage payloads kunnen elk type uitvoerbare code zijn, van Emotet's eigen modules tot malware die door andere cybercriminele bendes is ontwikkeld.

De initiële infectie van doelsystemen verliep vaak via een macrovirus in een e-mailbijlage. De geïnfecteerde e-mail is een legitiem lijkend antwoord op een eerder bericht dat door het slachtoffer is verzonden. Het is breed gedocumenteerd dat de Emotet-auteurs de malware hebben gebruikt om een botnet van geïnfecteerde computers te creëren, waartoe ze toegang verkopen in een Infrastructure-as-a-Service (IaaS)-model, in de cyberbeveiligingsgemeenschap aangeduid als MaaS (Malware-as-a-Service), Cybercrime-as-a-Service (CaaS), of Crimeware. Emotet staat bekend om het verhuren van toegang tot geïnfecteerde computers aan ransomware-operaties, zoals de Ryuk-bende. Vanaf september 2019 draaide de Emotet-operatie bovenop drie afzonderlijke botnets genaamd Epoch 1, Epoch 2, en Epoch 3.



In juli 2020 werden Emotet-campagnes wereldwijd gedetecteerd, waarbij zijn slachtoffers werden geïnfecteerd met TrickBot en Qbot, die worden gebruikt om bankreferenties te stelen en zich binnen netwerken te verspreiden. Sommige van de malspam-campagnes bevatten kwaadaardige documenten met namen als 'form.doc' of 'invoice.doc'. Volgens beveiligingsonderzoekers start het kwaadaardige document een PowerShell-script om de Emotet payload van kwaadaardige websites en geïnfecteerde machines te halen.

In januari 2021 konden onderzoekers dankzij een internationale actie, gecoördineerd door Europol en Eurojust, de Emotet-infrastructuur onder controle krijgen en verstoren. De gemelde actie ging gepaard met arrestaties in Oekraïne. Deze operatie is het resultaat van een gezamenlijke inspanning van autoriteiten in Nederland, Duitsland, de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, Litouwen, Canada en Oekraïne, waarbij de internationale activiteiten werden gecoördineerd door Europol en Eurojust. Deze operatie werd uitgevoerd in het kader van het Europees Multidisciplinair Platform tegen Criminele Dreigingen (EMPACT).

In het kader van het strafrechtelijk onderzoek van de Nederlandse Nationale Politie naar EMOTET is een database ontdekt met door EMOTET gestolen e-mailadressen, gebruikersnamen en wachtwoorden. U kunt controleren of uw e-mailadres is gecompromitteerd.  Als onderdeel van de wereldwijde herstelstrategie is, om een begin te maken met het informeren van de getroffenen en het opschonen van de systemen, wereldwijd informatie verspreid via het netwerk van zogeheten Computer Emergency Response Teams (CERT's).



Amstelveenweb.com is niet verantwoordelijk voor de inhoud van de nieuwsberichten.