image

Frankrijk, Japan en Nieuw-Zeeland waarschuwen voor aanvallen met Emotet-malware

dinsdag 8 september 2020, 12:20 door Redactie, 6 reacties

De Franse, Japanse en Nieuw-Zeelandse overheid hebben een waarschuwing afgegeven voor nieuwe aanvallen door de Emotet-malware en roepen organisaties onder andere op om personeel te onderwijzen dat ze geen macro's in Microsoft Office-documenten inschakelen. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is.

Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .doc-bestanden met kwaadaardige macro's bevatten. De malware lift daarbij mee op eerdere e-mailconversaties tussen al besmette slachtoffers en potentiële doelwitten. Die krijgen vervolgens een e-mail toegestuurd met een kwaadaardig bestand of een link hiernaar. Nieuwe versies van Emotet stelen ook adresboeken, e-mailbijlagen en de inhoud van berichten om die voor nieuwe aanvallen te gebruiken.

Zodra de ontvanger van een dergelijke e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Hierbij maakt Emotet gebruik van SMB-kwetsbaarheden en gestolen wachtwoorden, zo stelt het Franse Computer Emergency Response Team (CERT-FR).

De overheidsinstantie meldt dat Franse bedrijven en overheidsinstellingen al meerdere dagen doelwit zijn van aanvallen met Emotet. In het geval van een succesvolle aanval zal Emotet aanvullende malware installeren die grote gevolgen voor slachtoffers kan hebben, zo laat de waarschuwing van CERT-FR weten. Zo is Emotet gebruikt voor de installatie van de TrickBot-malware, die weer ransomware op systemen installeert.

CERT-FR geeft organisaties verschillende adviezen om infecties door Emotet te voorkomen. Zo moeten gebruikers bewust worden gemaakt om geen macro's in ontvangen Office-documenten in te schakelen. Verder moeten besmette machines uit het netwerk worden gehaald zonder daarbij gegevens te verwijderen. In het algemeen is het volgens de Franse overheidsinstantie niet voldoende om malware met een virusscanner te verwijderen. "Alleen de herinstallatie van de machine verzekert dat de malware is verwijderd", aldus het advies. Tevens worden organisaties die malafide bijlagen ontvangen gevraagd om die naar het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) te sturen.

Naast de Franse overheid waarschuwt ook het Nieuw-Zeelandse CERT (CERT NZ) dat er een toename is van Emotet-activiteit. CERT NZ adviseert om macro's binnen Microsoft Office in zijn geheel uit te schakelen en alleen macro's toe te staan die digitaal zijn gesigneerd of van een vertrouwde locatie afkomstig zijn. Ook moet PowerShell zo worden ingesteld dat het alleen gesigneerde scripts mag uitvoeren. In het geval van een besmet systeem raadt ook het CERT NZ aan om de machine te re-imagen.

Het derde land dat een toename van aanvallen met Emotet meldt is Japan. Het Japanse CERT (JPCERT) zag begin deze maand een sterke stijging van besmette .jp-e-mailadressen die werden gebruikt om Emotet te verspreiden. Daarbij maken de aanvallers niet alleen gebruik van .doc-bestanden, maar ook van met wachtwoord beveiligde zip-bestanden die een kwaadaardig document bevatten. Net als de andere CERTs raadt ook JPCERT aan om macro's niet zomaar in te schakelen.

Reacties (6)
08-09-2020, 12:55 door Anoniem
Het beste emotet overzicht vind je op URLHaus browse.
Daar rapporteert men o.a. emotet malcode.
Bezoek: https://urlhaus.abuse.ch/browse/ en scan op emotet.

Inderdaad MS macro is the bitch en cmd.exe.
Daarom draai ik Voodooshield en maak gebruik van open source LibreOffice.
En zit ik niet als admin op mijn OS, maar als gewoon gebruiker.

Ja linux is veiliger, mits onder goed geinstrueerd eigen beheer.
Het ligt niet zo onder vuur als de Microsoft Windows smaken.
Maar dat is weer een geheel andere discussie.

#sockpuppet
08-09-2020, 23:01 door Anoniem
Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is.

Iemand aanvullende tips/informatie over het detecteren, monitoren en verwijderen van Emotet?
Schone installatie i.c.m. rogue IOT gaat natuurlijk niet werken.

#
09-09-2020, 08:09 door Anoniem
Detecteren via netwerkverkeer uitlezen in combinatie met de tool emocheck van japanse overheid.
Zaak is alle systemen op een netwerk te isoleren en afhankelijk van wat voor emotet je hebt is een full format genoeg of wordt geadviseerd het systeem fysiek te vervangen. Sophos en Eset 32 zijn redelijk goed in detectie momenteel maar dat is een moment opname. Hou vooral rekening ermee dat emotet tegenwoordig niet de grootste zorg is maar de payload die emotet dropt. Denk aan trickbot of qbot bijvoorbeeld.

Wat emotet zo gevaarlijk maakt is dat het super goed ondersteund wordt en meer aangeboden wordt
als een betaalde dienst voor andere criminelen. Taktieken veranderen constant maar gelukkig tot nu toe als je macro gebruik compleet uitschakeld voor alle aangesloten gebruikers kan het niets aanrichten.
09-09-2020, 09:57 door Anoniem
Duidelijke betrouwbare handleiding vindt u hier:
https://blog.malwarebytes.com/detections/trojan-emotet/

Voorkomen is altijd beter als genezen, maar het buzzword hier is Eternal Blue,
MS malcode, die de emotet-malcreant in eerste instantie misbruikt.

Er wordt een verwijdering voor bedrijfs- en thuisgebruik gegeven.

Kun je of durf je het zelf niet aan, vraag dan assistentie van een gekwalificeerd online remover.
Dit zijn algemeen erkende malware verwijderaars die ook door Microsoft worden erkend.
Ze hebben een online opleiding gehad en kunnen pas actief worden als ze zich bewezen hebben.
Geeks to Go heeft er een opleiding voor online en een speciale "Hogwart Academie".

#sockpuppet
09-09-2020, 10:29 door Bitje-scheef
Wat emotet zo gevaarlijk maakt is dat het super goed ondersteund wordt en meer aangeboden wordt
als een betaalde dienst voor andere criminelen. Taktieken veranderen constant maar gelukkig tot nu toe als je macro gebruik compleet uitschakeld voor alle aangesloten gebruikers kan het niets aanrichten.

Nog steeds na al die jaren is er geen goede, afdoende bescherming vanuit MS Office, die hoofdzakelijk als ezel wordt gebruikt.
Gatenkaas.
09-09-2020, 21:53 door Anoniem
Emotet wordt steeds meer gelanceerd via malware weblinks in mail. Daarbij wordt gebruik gemaakt van php op de server, dat de client niet gewaar wordt, maar wel infecteerd (mits de voorwaarden op het OS daarvoor bestaan).

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.