De Franse, Japanse en Nieuw-Zeelandse overheid hebben een waarschuwing afgegeven voor nieuwe aanvallen door de Emotet-malware en roepen organisaties onder andere op om personeel te onderwijzen dat ze geen macro's in Microsoft Office-documenten inschakelen. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is.

Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .doc-bestanden met kwaadaardige macro's bevatten. De malware lift daarbij mee op eerdere e-mailconversaties tussen al besmette slachtoffers en potentiële doelwitten. Die krijgen vervolgens een e-mail toegestuurd met een kwaadaardig bestand of een link hiernaar. Nieuwe versies van Emotet stelen ook adresboeken, e-mailbijlagen en de inhoud van berichten om die voor nieuwe aanvallen te gebruiken.

Zodra de ontvanger van een dergelijke e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Hierbij maakt Emotet gebruik van SMB-kwetsbaarheden en gestolen wachtwoorden, zo stelt het Franse Computer Emergency Response Team (CERT-FR).

De overheidsinstantie meldt dat Franse bedrijven en overheidsinstellingen al meerdere dagen doelwit zijn van aanvallen met Emotet. In het geval van een succesvolle aanval zal Emotet aanvullende malware installeren die grote gevolgen voor slachtoffers kan hebben, zo laat de waarschuwing van CERT-FR weten. Zo is Emotet gebruikt voor de installatie van de TrickBot-malware, die weer ransomware op systemen installeert.

CERT-FR geeft organisaties verschillende adviezen om infecties door Emotet te voorkomen. Zo moeten gebruikers bewust worden gemaakt om geen macro's in ontvangen Office-documenten in te schakelen. Verder moeten besmette machines uit het netwerk worden gehaald zonder daarbij gegevens te verwijderen. In het algemeen is het volgens de Franse overheidsinstantie niet voldoende om malware met een virusscanner te verwijderen. "Alleen de herinstallatie van de machine verzekert dat de malware is verwijderd", aldus het advies. Tevens worden organisaties die malafide bijlagen ontvangen gevraagd om die naar het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) te sturen.

Naast de Franse overheid waarschuwt ook het Nieuw-Zeelandse CERT (CERT NZ) dat er een toename is van Emotet-activiteit. CERT NZ adviseert om macro's binnen Microsoft Office in zijn geheel uit te schakelen en alleen macro's toe te staan die digitaal zijn gesigneerd of van een vertrouwde locatie afkomstig zijn. Ook moet PowerShell zo worden ingesteld dat het alleen gesigneerde scripts mag uitvoeren. In het geval van een besmet systeem raadt ook het CERT NZ aan om de machine te re-imagen.

Het derde land dat een toename van aanvallen met Emotet meldt is Japan. Het Japanse CERT (JPCERT) zag begin deze maand een sterke stijging van besmette .jp-e-mailadressen die werden gebruikt om Emotet te verspreiden. Daarbij maken de aanvallers niet alleen gebruik van .doc-bestanden, maar ook van met wachtwoord beveiligde zip-bestanden die een kwaadaardig document bevatten. Net als de andere CERTs raadt ook JPCERT aan om macro's niet zomaar in te schakelen.