I IT-sikkerhedskredse er Emotet et af de mest berygtede og fremtrædende eksempler på malware, der er set i de seneste år. Hvis du ikke ved noget om Emotet og fokuserer på de risici, det indebærer, kan det være yderst fordelagtigt for dig at lære, hvad det er, og hvordan du beskytter dig  mod det.

Hvad er Emotet?

Emotet er en specifik type malware skabt af cyberkriminelle. Denne malware blev først opdaget i 2014 under et cyberangreb på banker i Tyskland og Østrig. Emotet blev globalt kendt i slutningen af 2010’erne takket være adskillige vellykkede og højt profilerede angreb.

Emotet er usædvanligt som en type malware, da det hele tiden udvikler sig og forbliver aktivt. Når malware identificeres, og teknologi udvikles til at blokere den, vil cyberkriminelle normalt skabe en ny type malware, der får et andet navn.

Cyberkriminelle udruller normalt Emotet malware via spam-e-mails. En typisk metode til at finde brugere er at sende et dokument med en standardtitel, såsom “invoice.doc”, som mange betragter som en legitim vedhæftelse, når de modtager det. Når modtageren åbner vedhæftelsen, downloades Emotet til dennes system via makroer i dokumentet og går i gang med at arbejde.

Det er også almindeligt, at Emotet-e-mails indeholder ondsindede links med ofte klikkede betingelser såsom “Betalingsoplysninger”, der ligger i indholdet.

Mange Emotet-angreb får det til at se ud, som om den e-mail, du modtager, er fra et velkendt brand, hvilket har bidraget til antallet af vellykkede angreb gennem årene.

Andre faktorer, der gør denne type malware så farlig, er, at den kan sidde på systemer og arbejde uopdaget og levere forskellige malware-typer til dit system. Hvis du identificerer Emotet og fjerner det fra dit system, skal du muligvis stadig udføre yderligere arbejde for at fjerne mere malware.

 

Hvordan har Emotet udviklet sig de seneste år?

I dag udvikler Emotet malware sig fortsat og har langt flere egenskaber end tilbage i 2014.

  • Den første version af Emotet blev oprettet for at opfange internettrafik for at stjæle bankoplysninger.
  • Anden version i 2014 omfattede moduler til automatisk at angribe tyske og østrigske banker. Den hostede også et pengeoverførselssystem, der hurtigt udførte bedrageri, før sikkerhedssystemerne opdagede det.
  • En opdatering fra 2015 omfattede yderligere stealth-funktioner, der skjulte Emotet for de fleste antivirusprogrammer. Den begyndte også at gå efter banker i Schweiz.

Disse tidlige versioner af Emotet var trojanske heste, som primært havde til formål at stjæle bankoplysninger og foretage ulovlige pengeoverførsler.

2018 og fremover

I 2018 udviklede Emotet sig fra traditionel malware fra trojanske heste inden for det, der kaldes en “dropper”. ” Det betyder, at Emotet såvel som selve infektionssystemerne leverer og downloader andre trojanske heste og ransomware til computersystemer. Et Emotet-angreb kan derfor føre til, at både data bliver stjålet, uden at man ved det, og at en enkeltperson, virksomhed eller en anden organisation bliver offer for ransomware. Det menes at ske ved, at skaberne af Emotet “leaser” deres software til andre kriminelle. Kriminelle betaler for malwaren for at hjælpe dem med at få adgang til data og beholde 100 % af overskuddet fra deres ransomware eller anden malware.

I 2019 blev det brugt som botnets til at nå ud til et større antal mennesker og organisationer, især banker i hele Europa og USA.

I 2020 er Emotet fortsat aktiv, og kampagner detekteres hele året igennem. Ultimo 2020 blev malwaren fundet distribueret fra ca. 50.000 parkerede domæner. Disse parkerede domæner er nyligt registrerede og umiddelbart parkerede domæner eller eksisterende domæner, som den tidligere ejer ikke har fornyet.

Fem berømte malware-angreb med Emotet

Emotet har været årsag til adskillige cyberangreb af høj værdi i de seneste år. Fem af de vigtigste er:

  1. Et angreb i februar 2018 mod lokale myndigheder i Allentown, Pennsylvania, hvor lokale statslige computersystemer blev infiltreret. Selvom der ikke blev brugt penge på at få fjernet ransomware, udgjorde de samlede omkostninger til udbedring og afbødning af skader forårsaget af angrebet mere end 1 million dollars.
  2. Et angreb i juli 2019 i byen Florida forårsagede tab på 460.000 dollars på grund af betaling for fjernelse af ransomware.
  3. I maj 2019 var det et angreb på Heise Group, et forlag med base i Tyskland. Dette angreb skyldtes, at en medarbejder åbnede, hvad der lignede en legitim vedhæftet fil i en e-mail. Det vides dog ikke, hvilke eventuelle økonomiske skader det medførte.
  4. Et angreb fra august 2020 på justitsministeriet i Quebec i Canada. Selv om justitsministeriet oplyste, at der ikke blev stjålet data eller var økonomiske tab, modtog ministeriet voldsom kritik for sin langsomme reaktion på problemet. Pr. december 2020 er ministeriet fortsat anklaget for ikke at indse, hvor alvorligt angrebet var.
  5. I september 2020 rapporterede offentlige myndigheder i hele Europa om øget Emotet-aktivitet og forsøg på bedrageri. Det vides dog ikke, i hvilket omfang disse var vellykkede.

Hvordan spreder Emotet malware sig, og hvorfor er det så svært at opdage?

Emotet spreder sig typisk via e-mailsystemer ved hjælp af hijacking-konti og udsendelse af ondsindede e-mails.

Når malwaren er i dit system, scanner den din indbakke og e-mail-kontaktliste. Den kan derefter besvare ægte e-mail-meddelelser med ondsindede vedhæftede filer eller links. Det er en anden faktor, der gør Emotet farligere end traditionelle phishing scam-e-mails, som ofte er nemme at få øje på, når de sendes tilfældigt fra en ukendt kilde.

Når personer på din kontaktliste modtager, hvad der ligner et ægte svar – på en e-mail, de virkelig har sendt – er der større sandsynlighed for, at de åbner den og klikker på den vedhæftede fil eller det vedhæftede link. Hvis de gør det, kan malwaren inficere deres system, stjæle data, installere anden malware og gentage processen med personens e-mailkonto.

Emotet er svær at opdage på grund af måden den er skrevet på, hvilket hjælper den med at komme rundt om de fleste antivirusprodukter. En traditionel virus bruger den samme kode “signatur”, hver gang den forsøger at etablere sig på dit system. Så længe din antivirussoftware ved, hvilken signatur den skal lede efter, kan den blokere disse vira.

Emotet er derimod det, der kaldes en polymorft virus. Det betyder, at malwarens “signatur” ændres på hver enkelt maskine, den installerer sig på, og antivirus-softwaren kan ikke detektere den. Emotet registrerer også, når den kører i en virtuel maskine, og kan automatisk lægge sig i dvale, indtil den kan fungere effektivt.

Hvordan kan du beskytte dig selv mod Emotet?

Den mest effektive metode til beskyttelse mod denne malware er at finde en SIEM-løsning, der kan hjælpe med at identificere og hjælpe med at sætte Emotet-e-mails og e-mails, der indeholder tilknyttet malware, såsom Ryuk-ransomware, i karantæne. En SIEM-løsning som LogPoint kan hjælpe med at detektere Emotet og tilføje et ekstra sikkerhedslag til dine virksomheds-e-mails.

Ud over at vælge software, der hjælper dig med at blokere Emotets angreb og løbende overvåge dine interne netværk, bør du også:

  • Deaktivere makroer fra at blive brugt i Microsoft Office-filer.
  • Straks installere alle sikkerhedsopdateringer, når de er tilgængelige på tværs af den software, du bruger.
  • Foretage regelmæssig sikkerhedskopiering af alle data, og gemme dem et andet sted end masterfilerne.
  • Skabe en kultur med rettidig omhu i din virksomhed. Hvis folk er på vagt over for, hvilke vedhæftede filer de åbner – eller du bruger cloud-software til at gøre vedhæftede filer meningsløse – minimerer du næsten helt risikoen for at blive det næste offer. Sørg for, at dit team ikke bruger sikkerhedssoftware som en falsk form for sikkerhed!

Hvad kan du gøre, hvis dine systemer bliver ramt af Emotet?

Hvis du mener, at du er blevet ramt af en Emotet-infektion, skal du gøre følgende:

  1. Fjern potentielt inficerede systemer fra dit netværk.
  2. Kontrollér systemet, og fjern malwaren, hvis du kan bekræfte, at den er til stede. Det kan være nødvendigt at rense systemet og geninstallere det.
  3. Kontrollér, om Emotet har plantet anden ransomware eller malware. Hvis disse forefindes, skal du også fjerne dem.
  4. Kontrollér og ryd op i hvert system i dit netværk, ét ad gangen. Husk, at Emotet kan ligge i dvale på dine systemer. Du skal bruge tid på at sikre, at du ikke har et problem, selvom du føler, at du har håndteret det.
  5. Når du har bekræftet, at malwaren ikke findes på dit netværk, skal du genintegrere det system, du identificerede den første infektion på.

Få mere at vide om, hvordan LogPoint tilbyder avanceret trusselsbeskyttelse mod forskellige former for malware til din virksomhed.

Contact LogPoint

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch