Innenfor IT-sikkerhet er Emotet et av de mest beryktede og prominente eksemplene på skadevare vi har sett de siste årene. Hvis du ikke har kunnskap om Emotet og fokuserer på risikoene det medfører, kan det å lære hva det er og hvordan du kan beskytte deg mot det, være noe av det beste du noen har gjort.

Hva er Emotet?

Emotet er en bestemt type skadevare som er skapt av nettkriminelle. Den første deteksjonen av denne skadevaren var i 2014, under et nettangrep på banker i Tyskland og Østerrike. Emotet fikk global oppmerksomhet mot slutten av 2010-årene takket være flere vellykkede, høyprofilerte angrep.

Emotet er en uvanlig type skadevare som stadig utvikler seg og holder seg aktiv. Når skadevare blir identifisert, og det utvikles teknologi for å blokkere den, vil de kriminelle bakmennene ofte opprette en ny type skadevare som ender opp med et annet navn.

Nettkriminelle distribuerer vanligvis Emotet skadevare via e-post-spam. En typisk måte er å sende et dokument med en standardtittel, for eksempel “invoice.doc”, som mange tror er et legitimt vedlegg når de mottar det. Når mottakeren åpner vedlegget, lastes Emotet ned til systemet via makroer i dokumentet og begynner å jobbe.

Det er også vanlig at e-postmeldinger med Emotet inneholder skadelige lenker med koblingstekster som «Betalingsdetaljer» i innholdet.

Mange Emotet-angrep får det til å se ut som om e-posten man mottar, kommer fra en kjent merkevare, noe som har bidratt til mange vellykkede angrep opp gjennom årene.

Andre faktorer som gjør denne typen skadevare så farlig, er at den kan gjemme seg i ulike systemer og arbeide uoppdaget og levere ulike typer skadevare til systemet ditt. Hvis du identifiserer en Emotet og fjerner den fra systemet ditt, kan det være at du må utføre enda mer arbeid for å fjerne ekstra skadevare.

Hvordan har Emotet utviklet seg de siste årene?

I dag fortsetter Emotet-skadevaren å utvikle seg, og den har langt flere egenskaper enn i 2014.

  • Den første versjonen av Emotet ble laget for å fange opp Internett-trafikk, for å kunne stjele bankopplysninger.
  • Den andre versjonen i 2014 omfattet moduler som automatisk retter seg mot tyske og østerrikske banker. De var også vertskap for et pengeoverføringssystem som raskt gjennomførte svindelen før sikkerhetssystemene ble varslet.
  • En oppdatering for 2015 inkluderte flere usynlige funksjoner som skjulte Emotet for de fleste antivirusprogrammer. Den begynte også å rette seg inn mot banker i Sveits.

Disse tidlige versjonene av Emotet var trojanske hester, som primært har som mål å stjele bankopplysninger og utføre ulovlige pengeoverføringer.

2018 og fremover

I 2018 utviklet Emotet seg fra en tradisjonell trojansk hest som inneholder skadevare, til det som kalles en «dropper». Dette betyr at Emotet i tillegg til å infisere systemene selv, leverer og laster ned andre trojanske hester og løsepengevirus til datasystemer. Derfor kan et Emotet-angrep føre til at data blir stjålet uten at det blir kjent, og at en person, virksomhet eller annen organisasjon blir offer for et løsepengevirus. Det antas at dette skjer ved at Emotet-utviklerne «leaser ut» programvaren til andre kriminelle. Kriminelle betaler for skadevaren for lettere å få tilgang til data og beholde 100 % av fortjenesten fra løsepengevirus eller annen skadevare.

Innen 2019 ble det brukt som et botnett for å nå ut til et større antall mennesker og organisasjoner, særlig banker over hele Europa og USA.

Fra og med 2020 er Emotet fortsatt aktivt, med kampanjer som blir oppdaget gjennom hele året. Sent i 2020 ble skadevaren distribuert fra rundt 50 000 parkerte domener. Disse parkerte domenene er nylig registrerte og umiddelbart parkerte domener, eller eksisterende domener som den forrige eieren ikke har fornyet.

Fem mye omtalte angrep med skadevare ved hjelp av Emotet

Emotet har stått bak flere kostbare nettangrep de siste årene. Her er fem av de viktigste:

  1. Et angrep på lokale myndigheter i Allentown i Pennsylvania i februar 2018, der lokale offentlige datasystemer ble infiltrert. Selv om ingenting ble brukt på utbetalinger av løsepengevirus, var de totale kostnadene for å reparere og redusere skader forårsaket av angrepet mer enn 1 million dollar.
  2. Et angrep i byen Lake City i Florida i 2019 forårsaket et tap på 460 000 dollar på grunn av utbetaling av løsepenger.
  3. Et angrep på Heise Group i mai 2019, et forlag med base i Tyskland. Angrepet skyldtes at en ansatt åpnet det som så ut som et legitimt e-postvedlegg. Det er imidlertid ikke kjent hvilke økonomiske skader, om noen, selskapet ble påført.
  4. I august 2020 var det et angrep på justisdepartementet i Quebec i Canada. Selv om justisdepartementet ikke oppga at det var gått tapt data eller penger, ble avdelingen kritisert for å ha respondert langsomt på problemet. I desember 2020 anklages departementet fortsatt for ikke å fullt ut å ha forstått alvoret i angrepet.
  5. I løpet av september 2020 rapporterte statlige organer over hele Europa om økt Emotet-aktivitet og forsøk på svindel. Det er imidlertid ukjent i hvilken grad disse var vellykket.

Hvordan sprer Emotet-skadevare seg, og hvorfor er det så vanskelig å oppdage?

Emotet sprer seg vanligvis via e-postsystemer ved å kapre kontoer og sende ut ondsinnet e-post.

Når skadevaren er i systemet ditt, skanner den innboksen og e-postkontaktlisten. Deretter kan den svare på ekte e-postmeldinger med skadelige vedlegg eller lenker. Dette er en annen faktor som gjør Emotet farligere enn tradisjonell phishing-svindel via e-post, som ofte er lett å oppdage, siden den sendes ut tilfeldig fra en ukjent kilde.

Ettersom personene i kontaktlisten din mottar det som ser ut som et reelt svar – til en e-post som de faktisk har sendt – er det mer sannsynlig at de åpner den og klikker på vedlegget eller lenken. Hvis de gjør det, kan skadevaren infisere systemet, stjele data, installere annen skadevare og gjenta prosessen med vedkommendes e-postkonto.

Emotet er vanskelig å oppdage på grunn av måten den skrives på, noe som bidrar til at den kommer seg rundt de fleste antivirusprodukter. Et tradisjonelt virus bruker den samme «signatur»-koden hver gang det prøver å etablere seg i systemet. Så lenge antivirusprogramvaren vet hvilken signatur den skal se etter, kan den derfor blokkere disse virusene.

En Emotet er derimot det som kalles et polymorft virus. Dette betyr at skadevarens «signatur» endrer seg på hver maskin den installerer seg på, slik at antivirusprogramvaren ikke oppdager den. Emotet ser også selv når den kjører i en virtuell maskin og kan sette seg selv i hvilemodus inntil den kan fungere effektivt.

Hvordan kan du beskytte deg mot Emotet?

Den mest effektive beskyttelsen mot denne skadevaren er å finne en SIEM-løsning som bidrar til å identifisere og isolere e-postmeldinger fra Emotet, og de som inneholder tilknyttet skadevare, for eksempel Ryuk løsepengevirus. En SIEM-løsning som LogPoint kan bidra til å oppdage Emotet og gi bedriftens e-postadresser et ekstra beskyttelseslag.

I tillegg til å velge programvare som vil hjelpe deg med å blokkere emotet-angrep og kontinuerlig overvåke interne nettverk, bør du også:

  • Deaktivere makroer, slik at de ikke brukes i Microsoft Office-filer.
  • Installer umiddelbart eventuelle sikkerhetsoppdateringer når de er tilgjengelige i hele programvaren dere bruker.
  • Ta regelmessige sikkerhetskopier av alle data og lagre dem sikkert på et annet sted enn hovedfilene.
  • Skap en aktsomhetskultur i selskapet. Hvis folk er oppmerksomme på hvilke vedlegg de åpner – eller dere bruker et skyprogram til å gjøre vedlegg overflødig – vil dere minimere risikoen for å bli offer for Emotet til nesten null. Sørg for at teamet ditt ikke bruker sikkerhetsprogramvare på en slik måte at de får en falsk følelse av sikkerhet!

Hva kan du gjøre hvis systemene blir infisert av Emotet?

Hvis du tror du har blitt rammet av en Emotet, kan du gjøre følgende:

  1. Fjern potensielt infiserte systemer fra nettverket.
  2. Kontroller systemet og fjern skadevaren hvis du kan bekrefte at den finnes. Det kan være nødvendig å slette og installere systemet på nytt.
  3. Se etter andre løsepengevirus og annen skadelig programvare som kan ha blitt sluppet av Emotet. Hvis disse finnes, bør du også fjerne dem.
  4. Kontroller og rengjør alle andre systemer i nettverket, ett om gangen. Husk at Emotet kan ligge i hvilemodus på systemene dine. Du må investere tid og ressurser for å sikre at du ikke får flere problemer rett etter at du mener du har håndtert ett problem.
  5. Når du har bekreftet at det ikke finnes skadevare på nettverket, kan du integrere systemet der du identifiserte den første infiseringen.

Finn ut mer om LogPoints avanserte trusselbeskyttelse mot ulike former for skadevare for bedriften din.

Contact LogPoint

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch