De beruchte Emotet-malware waar het Nationaal Cyber Security Centrum (NCSC) in september nog voor waarschuwde is in meer dan tweehonderd landen waargenomen, waaronder Nederland, zo stelt Cisco. De malware verspreidt zich vooral via doc- en docx-bestanden. De documenten zijn bijlagen bij e-mails die meestal "factuur" als onderwerp hebben, zo blijkt uit een analyse van de spamberichten.

Cisco kreeg verschillende domeinen in handen die met Emotet besmette computers gebruiken voor het versturen van malafide spamberichten. Zodoende zagen de onderzoekers wanneer Emotet spamberichten verstuurt en wat voor onderwerpen en bijlagen er worden gebruikt. Niet verrassend worden de meeste Emotet-mails op werkdagen verstuurd.

In bijna alle gevallen maken de spamberichten gebruik van factuur-gerelateerde onderwerpen. Om het slachtoffer te infecteren bevatten de e-mails vaak een doc- of docx-bestand. De bestanden zijn voorzien van een macro die wanneer ingeschakeld door de gebruiker Emotet installeert. En Emotet is hiermee zeer succesvol. De onderzoekers van Cisco vonden in meer dan tweehonderd landen met Emotet besmette systemen, waaronder ook in Nederland.

Eenmaal actief op een systeem kan Emotet allerlei aanvullende malware installeren. Zo wordt Emotet voor verschillende grote ransomware-uitbraken verantwoordelijk gehouden. "Aangezien Emotet lange periodes onopgemerkt in omgevingen aanwezig kan zijn is het cruciaal dat organisaties uitgebreide back-up- en recoverystrategieën ontwikkelen mocht er een incident zich voordoen", zegt Nick Biasini van Cisco.