De beruchte malware Emotet is weer aan een opmars bezig. Van de financiële sector tot de zorg: elke organisatie moet op zijn hoede zijn voor Emotet. Hoe werkt deze malware precies? Waarom is Emotet zo gevaarlijk? En hoe beschermt u uw bedrijf?
Emotet bestaat al sinds 2014. Deze malware was aanvankelijk een ‘banking trojan’ die werd ingezet voor het stelen van bankgegevens via besmette computers. Maar in de loop van de jaren is Emotet geëvolueerd tot modulaire malware die primair werkt als een ‘downloader’. Dit type malware stelt de aanvallers in staat om andere schadelijke code te downloaden op het besmette systeem.
Van Emotet naar ransomware
Die zogeheten ‘payloads’ kunnen aanvullende Emotet-modules zijn, maar ook malware van andere criminelen. Zo werd Emotet in 2019 gebruikt om de trojan TrickBot en de ransomware Ryuk te verspreiden. Emotet vormt dan het startpunt voor een keten van digitale ellende. TrickBot steelt gevoelige gegevens zoals wachtwoorden en cookies, en zorgt mogelijk voor verdere verspreiding. Vervolgens versleutelt Ryuk data en vraagt het om losgeld.
Een besmetting met Emotet komt meestal tot stand via een phishingaanval via e-mail. Daarbij wordt het slachtoffer verleid om op een malafide link te klikken, bijvoorbeeld in een pdf-bestand, of een Word-document met macro’s te openen. De makers van Emotet bieden ook botnets met geïnfecteerde systemen aan. Tegen betaling krijgen andere criminelen (zoals de Ryuk-bende) toegang tot die systemen. Dit wordt Malware-as-a-Service (MaaS) genoemd.
Whitepaper: 'Basisbeveiliging'
Zo beperk je het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.
14 okt 2020
Nederlandse ziekenhuizen zijn doelwit
Emotet kent om de zoveel tijd een opleving. In september 2020 was het na enkele maanden van relatieve rust weer raak. Cybersecurityautoriteiten uit Frankrijk, Japan en Nieuw-Zeeland waarschuwden voor een piek in het aantal Emotet-aanvallen. Z-CERT, het Nederlandse expertisecentrum voor cybersecurity in de zorg, kwam eveneens met een waarschuwing. Volgens Z-CERT hebben ook Nederlandse ziekenhuizen Emotet waargenomen.
“Emotet was oorspronkelijk gericht op de financiële sector en daar ligt nu nog steeds de focus”, zegt Erno Doorenspleet, Vice President Security Strategy bij KPN. “Evident is echter dat Emotet nu voor vrijwel alle branches een serieuze bedreiging vormt. Van de gezondheidszorg en de retailsector tot het onderwijs en de overheid: onze experts zien deze malware eigenlijk overal.”
Emotet legt Frankfurt plat
Doorenspleet benadrukt dat een Emotet-besmetting tot forse schade kan leiden, zelfs als er adequaat wordt ingegrepen. Zo haalde de Duitse stad Frankfurt eind 2019 het eigen IT-netwerk offline na een besmetting. “Dit gebeurde om Emotet zo snel mogelijk te verwijderen en ransomware-aanvallen te voorkomen. Van de stadswebsite tot betaalsystemen in het openbaar vervoer: alle IT-voorzieningen in de stad waren tijdelijk uit de lucht.”
Volgens de Vice President Security Strategy was dit een moedig en verstandig besluit van Frankfurt. “Veel vaker zien we dat getroffen organisaties dergelijke drastische maatregelen pas nemen als de ransomware zich al diep in de systemen genesteld heeft. Met Emotet is het risico daarop enorm. Ik denk dan ook dat Frankfurt hiermee de totale impact aanzienlijk heeft beperkt.”
Ook twee Duitse universiteiten en de Duitse stad Bad Homburg waren slachtoffer van Emotet. Een van de getroffen organisaties, de Justus Liebig University Giessen, was er helaas niet op tijd bij. Emotet werd hier gebruikt om Ryuk uit te rollen op het netwerk van de universiteit. Dat leidde onder meer tot lange rijen omdat 38.000 studenten en medewerkers een nieuw wachtwoord voor hun e-mailaccount moesten opvragen. Uit voorzorg waren die wachtwoorden allemaal gereset.
Gerichte of generieke phishingmails
Emotet is wijdverspreid en kent vele verschijningsvormen. Ook de initiële aanvalsmethode verschilt. “Soms gaat het om gerichte aanvallen”, aldus Doorenspleet. “Zo deden criminelen zich bij een aanval op de Verenigde Naties voor als de Permanente Vertegenwoordiging van Noorwegen. 600 VN-medewerkers kregen een e-mail waarin stond dat er problemen waren met een ondertekende overeenkomst.”
“Maar er zijn ook Emotet-campagnes waarbij redelijk generieke e-mails naar miljoenen e-mailadressen tegelijkertijd worden verstuurd”, vervolgt hij. “De aanvallers doen dit in de hoop dat er ergens iemand op een link klikt of het bestand downloadt. Met deze sleepnetmethode kunnen zij tegen relatief lage kosten naar slachtoffers zoeken. Dat is blijkbaar nog steeds effectief.”
Is Emotet een blijvertje?
Doorenspleet verwacht dat Emotet voorlopig niet van het toneel verdwijnt. “Het Malware-as-a-Service-model is bijzonder succesvol en maakt het uitvoeren van grootschalige malware-aanvallen laagdrempeliger dan ooit. Er is nauwelijks technische kennis voor nodig om een rendabele Emotet-campagne op te zetten. Daarmee wordt het ook aantrekkelijk voor reguliere criminelen.”
De securitystrateeg adviseert organisaties om de komende tijd extra alert te zijn op Emotet en phishing in het algemeen. “Met enkele basismaatregelen kunt u het risico op een besmetting al fors beperken. Denk hierbij aan antimalware, het uitschakelen van macro’s op elk apparaat en het organiseren van security-awarenesstrainingen voor het personeel. Dat laatste is extra belangrijk nu we massaal thuiswerken.”
En als de besmetting eenmaal een feit is? Doorenspleet: “Een kenmerk van Emotet is dat het zich snel verspreidt via het netwerk en systemen ook telkens opnieuw kan infecteren. Zeker binnen organisaties met grote aantallen endpoints is het dan ook een behoorlijke operatie om Emotet volledig uit te roeien. We merken dat veel bedrijven hier in de praktijk ondersteuning bij nodig hebben.”
