Organisaties moeten waar mogelijk macro's in documenten die van het internet afkomstig zijn blokkeren, zo adviseert het Australian Cyber Security Centre (ACSC). Aanleiding is een nieuwe grootschalige campagne van de Emotet-malware die via Word-documenten met macro's wordt verspreid.
Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om potentiële slachtoffers te verleiden de e-mailbijlage te openen kan Emotet meeliften op eerdere e-mailcommunicatie van het slachtoffer. Zodra de malware het e-mailwachtwoord van een slachtoffer heeft bemachtigd wordt er een antwoord opgesteld op nog ongelezen e-mails in de inbox van het slachtoffer. Daarbij wordt de inhoud van de eerdere e-mail gequoot en voorzien van de tekst om de meegestuurde bijlage te openen. Ook maakt deze werkwijze het lastiger voor spamfilters om de berichten te stoppen.
Volgens het ACSC maken criminelen achter Emotet gebruik van zowel gerichte als ongerichte spammails om de malware te verspreiden. Eenmaal actief op een computer probeert Emotet via bruteforce-aanvallen toegang tot andere machines te krijgen. Emotet kan ook de TrickBot-malware installeren die zich via de Eternalblue-exploit binnen het netwerk probeert te verspreiden. Dit is dezelfde exploit die de WannaCry-ransomware gebruikte.
Inmiddels zijn minstens negentien infecties door Emotet in Australië bij het ACSC bekend. Eén van die infecties betrof een organisatie in de gezondheidssector waarbij de Emotet-infectie tot een besmetting met de Ryuk-ransomware leidde. "Pogingen om Australische bedrijven en organisaties te compromitteren vinden doorlopend plaats en vormen een groot risico voor Australische entiteiten", zo waarschuwt het ACSC. De Duitse overheid noemde Emotet eerder nog de gevaarlijkste malware ter wereld.
Om infecties te voorkomen adviseert het ACSC als eerste om macro's in documenten afkomstig van het internet te blokkeren en alleen het uitvoeren van gecontroleerde en gewhiteliste macro's toe te staan. "Het uitschakelen van alle onbekende macro's kan het risico voor je netwerk drastisch verminderen", aldus de Australische overheidsinstantie. Tevens word aangeraden om het personeel te onderwijzen, het netwerk op Emotet- en TrickBot-hashes te scannen en offline back-ups te maken. In het geval van een Emotet-infectie moeten organisaties machines direct offline halen en in quarantaine plaatsen.
Deze posting is gelocked. Reageren is niet meer mogelijk.