Emotet botnet keert na 5 maanden terug

Het Emotet botnet keert na 5 maanden terug, nadat alle activiteiten waren gestopt op 7 februari 2020. Sinds vrijdag 17 juli 2020 zijn er meer dan 250.000 kwaadaardige e-mails verstuurd naar Microsoft Office gebruikers. De gebruikers komen onder anderen uit Argentinië, Brazilië, Canada, Chili, Ecuador, Mexico, het Verenigd Koninkrijk en de Verenigde Staten.

De e-mails bevatten een Word bijlage of een link naar een website waar een Word document gedownload kan worden. Deze Word documenten bevatten kwaadaardige macro’s, welke wanneer de gebruiker ze inschakelt, Emotet zullen downloaden en installeren.

Wat is Emotet?

De Emotet malware verscheen voor het eerst in 2014, daarna heeft zich verder ontwikkeld in een botnet dat erop gericht is om credentials van gebruikersaccounts te stelen. Ook wordt Emotet gebruikt om andere malware te downloaden zoals de banking trojans TrickBot en QakBot.

Het botnet draait vanaf 3 gescheiden clusters, bekend als Epoch 1, Epoch 2 en Epoch 3, welke spam e-mails versturen om nieuwe gebruikers met de malware payload te infecteren.

Emotet is in 2019 ook al eens verdwenen in de zomer, om daarna weer terug te keren om onder andere banking trojans, information stealers, e-mail harvesters en ransomware te droppen.

Malwarebytes onderzoekers geven aan dat de Emotet Trojan de meest zichtbare en actieve dreiging was op hun radar in 2018 en 2019, totdat het een lange pauze nam.

De huidige campagne

De nieuwe campagne gebruikt de bekende Emotet tactieken. De e-mails bevatten links of documenten met kwaadaardige macro’s die een PowerShell script draaien om de payload van 5 verschillende links te downloaden, volgens Microsoft Security Intelligence onderzoekers.

De e-mails, waarvan 2 voorbeelden hieronder zijn te vinden, doen alsof er een bestand wordt gestuurd als antwoord op een bestaand e-mail onderwerp.

Andere voorbeelden vragen ontvangers om een bestand met een bijlage “Form – Jul 17, 2020.doc.” te openen of doen alsof het gaat om een factuur. Ontvangers moeten er wel eest zelf voor kiezen om de macro’s toe te staan.

emotet-sample.png

Wanneer de macro is ingeschakeld, wordt er met Windows Management Instruction een PowerShell opgestart om Emotet op te halen van een gecompromitteerde website op afstand. Uiteindelijk wordt de payload uitgevoerd op het geïnfecteerde apparaat en wordt een bevestiging teruggestuurd naar één van de Emotet command & control (C2) servers.

Op dit moment zijn er honderden unieke bijlagen en links gezien in tienduizenden e-mails van deze campagne. De meeste websites waar de links naar verwijzen zijn gecompromitteerd.

Er zijn veel overeenkomsten met vorige Emotet campagnes, maar er zijn daarnaast ook enkele andere tactieken gezien. De kwaadaardige links worden nu ook verspreid via PDF bestanden met daarnaast ook de kwaadaardige documenten of links in de body van de e-mail. “Dit is een verandering in hoe Emotet zijn payload levert,” volgens de Proofpoint onderzoekers.

Andere malware

De Emotet gang heeft een e-mail spam infrastructuur om eindgebruikers te infecteren met de Emotet trojan. Hiermee is Emotet aanwezig op het apparaat van de gebruiker. Hiermee kan er andere malware worden uitgerold zoals een banking trojan module of ze huren de toegang uit naar andere ransomware gangs of malware operators zoals TrickBot, die zo hun eigen malware kunnen uitrollen naar de geïnfecteerde apparaten.

Doordat er een nauwe band is met ransomware gangs, wordt Emotet in sommige landen, zoals Duitsland en Nederland, met dezelfde urgenties behandeld als ransomware-aanvallen.

Advies

Er wordt geadviseerd aan bedrijven en organisaties die een apparaat in hun netwerk vinden dat geïnfecteerd is met Emotet, om dit geïnfecteerde apparaat direct te isoleren en het complete netwerk offline te halen voor een onderzoek. Dit is noodzakelijk om te voorkomen dat Emotet wordt gebruikt om Ransomware en andere malware kan verspreiden binnen het netwerk van uw organisatie.

Daarnaast wordt er aangeraden om te controleren wanneer er connecties van uw interne netwerk gaan richting bekende Emotet C2 IP-adressen, gecompromitteerde websites en hashes van kwaadaardige documenten te controleren.

Verder wordt er aangeraden om nooit zomaar op bijlagen te openen en op links te klikken van onbekende afzenders. Ook wordt het afgeraden om macro’s in te schakelen, wanneer hier om gevraagd wordt.

Als laatste wordt er geadviseerd om gebruik te maken van een SOC/SIEM oplossing, welke erbij kan helpen om een Emotet infectie op tijd te detecteren.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

SIGRed, een “wormable” kritieke kwetsbaarheid in Windows DNS-Server
Kwetsbaarheid in Cisco FTD en ASA zorgt voor lek van gevoelige data

Gerelateerde berichten

emotet

Nieuwe Emotet aanval met neppe Windows updates

Android ransomware

Nieuwe Android ransomware wordt door Microsoft voor gewaarschuwd

QR code

QR codes zijn handig, maar ook een Cybersecurity dreiging

Microsoft

Grote toename in pogingen tot misbruik Zerologon kwetsbaarheid in 1 week tijd

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

MS Teams

Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

teamviewer

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Trickbot

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

6 + twaalf =

Menu