I IT-säkerhetskretsar är Emotet ett av de mest kända och framträdande exemplen på skadlig kod som har identifierats på senare år. Känner du inte till Emotet och dess risker? I såna fall är det otroligt viktigt att du lär dig vad det är och hur du skyddar dig mot det.

Vad är Emotet?

Emotet är en specifik typ av skadlig programvara som har skapats av cyberbrottslingar. Den första upptäckten av denna skadliga programvara skedde 2014 under en cyberattack mot banker i Tyskland och Österrike. Emotet fick global uppmärksamhet mot slutet av 2010-talet tack vare flera framgångsrika och högprofilerade attacker.

Emotet är en typ av skadlig programvara eftersom den ständigt utvecklas och förblir aktiv. När skadlig programvara identifieras och teknik utvecklas för att blockera den, skapar cyberbrottslingar i regel en ny typ av skadlig programvara med ett annat namn.

Cyberbrottslingar infiltrerar ofta Emotet via skräppost. En typisk metod är att rikta in sig på användare genom att skicka ett dokument med ett vanligt förekommande namn, t.ex. ”faktura.doc”, som många uppfattar som en legitim e-postbilaga. När mottagaren öppnar bilagan laddas Emotet ned till systemet via makron i dokumentet och börjar skrida till verket.

Det är också vanligt att e-postmeddelanden med Emotet innehåller skadliga länkar med vanligt förekommande och lättklickade ord som ”Betalningsuppgifter”.

Många Emotet-attacker får det att se ut som att e-postmeddelandet du får kommer från ett välkänt företag, vilket har bidragit till antalet framgångsrika attacker genom åren.

Andra faktorer som gör denna typ av skadlig kod så farlig är att den kan finnas i system och verka oupptäckt och installera olika typer av skadlig kod i ditt system. Även om du identifierar Emotet och tar bort det från ditt system kan du fortfarande behöva vidta ytterligare åtgärder för att ta bort kvarvarande skadlig kod.

Hur har Emotet utvecklats de senaste åren?

Även nu har Emotet fortsatt att utvecklas och har betydligt större kapacitet än 2014.

  • Den första versionen av Emotet utvecklades för att avläsa internettrafik med syfte att stjäla bankuppgifter.
  • Den andra versionen 2014 inkluderade moduler som automatiskt riktade sig mot tyska och österrikiska banker. Det var även värd för ett penningöverföringssystem som snabbt genomförde bedrägerier innan bankernas säkerhetssystem hann upptäcka dem.
  • I 2015 års uppdatering ingick ytterligare stealth-funktioner som dolde Emotet från de flesta antivirusprogram. Det började också inrikta sig på banker i Schweiz.

Dessa tidiga versioner av Emotet var trojaner, vars främsta syfte var att stjäla bankuppgifter och utföra olagliga banktransaktioner.

2018 och framåt

2018 hade Emotet vuxit från en traditionell trojan till det som kallas ”dropper”. Detta innebär att Emotet – förutom att infektera själva systemen – kunde ladda ned och installera andra trojaner och gisslanprogram på datorsystem. Därför kunde en Emotet-attack leda till att både datastöld utan vetskap och att en individ, ett företag eller en annan organisation kunde falla offer för gisslanprogram. Detta kunde förmodligen ske genom att Emotet ”leasade” sin programvara till andra brottslingar. Brottslingar betalar för den skadliga programvaran som hjälper dem få tillgång till data och behåller 100 % av vinsten från gisslanprogrammet eller annan skadlig programvara.

2019 började det användas botnät som riktade in sig på allt fler privatpersoner och organisationer, i synnerhet banker i Europa och USA.

Emotet var fortsatt aktivt under 2020, och nya kampanjer identifierades under hela året. I slutet av 2020 upptäckte man att skadlig kod distribuerades från cirka 50 000 parkerade domäner. Dessa parkerade domäner var nyregistrerade och omedelbart parkerade eller befintliga giltiga domäner vars tidigare ägare inte hade förnyat sina domänavgifter.

 

Fem kända malware-attacker som använt Emotet

Emotet har orsakat ett flertal högprofilerade cyberattacker på senare år. Här är fem av de mest uppmärksammade:

  1. En attack mot en lokal myndighet i Allentown i Pennsylvania i februari 2018, då myndighetens datorsystem infiltrerades. Trots att man inte betalade lösensumman uppgick den totala kostnaden för återställning och skademildring till över en miljon amerikanska dollar.
  2. I juli 2019 orsakade en attack mot orten Lake City i Florida, USA förluster på 460 000 dollar pga. betalning av lösensummor.
  3. I maj 2019 angreps Heise Group, ett förlag baserat i Tyskland. Attacken möjliggjordes på grund av att en anställd öppnade vad som såg ut som en legitim e-postbilaga. Det är inte känt vilka eventuella ekonomiska skador som åsamkats.
  4. Ett angrepp mot justitiedepartementet i Quebec, Kanada i augusti 2020. Justitiedepartementet uppgav att inga data stulits eller ekonomiska förluster uppstått, men departementet fick hård kritik för sin långsamma respons. I december 2020 anklagades departementet fortfarande för att inte ha insett attackens allvarlighetsgrad.
  5. Under hela september 2020 rapporterade myndigheter inom hela Europa ökade Emotet-aktiviteter och bedrägeriförsök. Det är dock okänt i vilken utsträckning dessa var framgångsrika.

Hur sprids skadeprogrammet Emotet och varför är det så svårt att upptäcka?

Emotet sprider sig i regel via e-postsystem genom att kapa konton och skicka e-postmeddelanden som innehåller bilagor med skadlig kod.

När den skadliga programvaran väl finns i ditt system skannar den din inkorg och e-postadressbok. Den kan sedan svara på faktiska e-postmeddelanden med skadliga bilagor eller länkar. Detta är ytterligare en faktor som gör Emotet farligare än traditionella nätfiskemeddelanden, som ofta är lätta att upptäcka när de skickas slumpmässigt från en okänd avsändare.

Eftersom personerna i din adressbok tar emot någonting som ser ut som ett legitimt svar – till ett e-postmeddelande som de verkligen skickat – är det mer sannolikt att de öppnar det och klickar på bilagan eller länken. Om de gör detta kan skadlig programvara infektera deras system, stjäla data, installera annan skadlig programvara och upprepa processen med den personens e-postkonto.

Emotet är svårt att upptäcka på grund av hur det är programmerat, vilket hjälper det att kringgå de flesta antivirusprodukter. Ett traditionellt virus använder samma ”kodsignatur” varje gång det försöker infektera ditt system. Så länge ditt antivirusprogram vet vilken signatur det ska leta efter, kan det blockera dessa virus.

Emotet är däremot ett så kallat polymorfiskt virus. Detta innebär att den skadliga kodens ”signatur” ändras på varje maskin den installeras på så att antivirusprogrammet inte kan detektera den. Emotet känner också av när den körs i en virtuell maskin och kan automatiskt sätta sig i viloläge tills den kan agera aktivt.

Hur kan du skydda dig mot Emotet?

Det mest effektiva sättet att skydda sig mot detta skadeprogram är att hitta en SIEM-lösning som kan hjälpa till att identifiera och sätta e-postmeddelanden som innehåller Emotet i karantän och de som innehåller tillhörande skadliga program som gisslanprogrammet Ryuk. En SIEM-lösning som LogPoint kan hjälpa till att identifiera Emotet och ge ditt företag ett extra säkerhetslager för företagets e-post.

Förutom att välja programvara som hjälper dig att blockera Emotet-attacker och kontinuerligt övervaka dina interna nätverk bör du även:

  • Inaktivera användning av makron i Microsoft Office-filer.
  • Omgående installera eventuella säkerhetsuppdateringar så snart de görs tillgängliga för programvaran som du använder.
  • Säkerhetskopiera alla data och lagra dem säkert på annan ort än originalfilerna.
  • Skapa säkerhetstänkande inom ditt företag. Om anställda är försiktiga med vilka bilagor de öppnar – eller om du använder molnprogramvara för att slippa skapa e-postbilagor – minimerar du risken för att falla offer för Emotet till nära noll. Se till att användningen av säkerhetsprogram inte ger ditt team en falsk känsla av trygghet!

Vilka åtgärder kan du vidta om dina system drabbas av Emotet?

Om du tror att du har drabbats av en Emotet-infektion ska du göra följande:

  1. Koppla bort potentiellt infekterade system från nätverket.
  2. Kontrollera systemet och ta bort den skadliga programvaran om du kan bekräfta att den finns. Systemet kan behöva rensas och installeras om.
  3. Sök efter andra gisslanprogram och skadeprogram som kan ha laddats ner av Emotet. Om sådana finns ska du även ta bort dem.
  4. Kontrollera och rensa alla andra system i nätverket, ett i taget. Kom ihåg att Emotet kan ligga i dvala på dina system. Du måste investera tid på att säkerställa att det inte finns några problem även om du anser att du åtgärdat allting.
  5. När du har bekräftat att den skadliga programvaran inte finns kvar i ditt nätverk ska du återintegrera systemet där du identifierade den initiala infektionen.

Läs mer om hur LogPoint erbjuder avancerat skydd mot olika former av skadlig programvara för ditt företag.

Contact LogPoint

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch