Waarom hackers zich richten op webservers met malware en hoe u die van u kunt beschermen Bekijk nu
Emotet, ooit beschreven als “de gevaarlijkste malware ter wereld” voordat het werd verwijderd door een grote internationale politie-operatie, is blijkbaar terug – en wordt geïnstalleerd op Windows-systemen die zijn geïnfecteerd met TrickBot-malware.
Emotet-malware voorzag zijn controllers van een achterdeur naar gecompromitteerde machines, die konden worden verhuurd aan andere groepen, waaronder ransomwarebendes, om te gebruiken voor hun eigen campagnes. Emotet gebruikte ook geïnfecteerde systemen om geautomatiseerde phishing-e-mails te verzenden om het botnet te vergroten, voordat het in januari van dit jaar werd uitgeschakeld.
De ontmanteling van het botnet was een van de belangrijkste verstoringen van cybercriminele operaties in de afgelopen jaren, aangezien wetshandhavingsinstanties over de hele wereld – waaronder Europol en de FBI – samenwerkten om controle te krijgen over honderden Emotet-servers die miljoenen pc's controleerden die waren geïnfecteerd met malware. Een speciaal vervaardigde killswitch-update die door onderzoekers is gemaakt, heeft het botnet in april effectief van geïnfecteerde computers verwijderd.
ZIE: Een winnende strategie voor cyberbeveiliging (ZDNet speciaal rapport)
Maar nu hebben onderzoekers van een aantal cyberbeveiligingsbedrijven gewaarschuwd dat Emotet is teruggekeerd. Een ander malware-botnet, TrickBot, dat na de verwijdering in januari het doelwit werd van veel cybercriminelen, wordt gebruikt om Emotet op geïnfecteerde Windows-systemen te installeren.
“We hebben op verschillende van onze Trickbot-trackers gezien dat de bot probeerde een DLL naar het systeem te downloaden. Volgens interne verwerking zijn deze DLL's geïdentificeerd als Emotet. Omdat het botnet eerder dit jaar echter werd verwijderd, waren we wantrouwend over de bevindingen en voerde een eerste handmatige verificatie uit”, schreef Luca Ebach, beveiligingsonderzoeker bij G Data, een Duits cyberbeveiligingsbedrijf, in een blogpost.
“Momenteel hebben we er veel vertrouwen in dat de samples inderdaad een reïncarnatie lijken te zijn van de beruchte Emotet,” voegde hij eraan toe.
Cybersecurity-onderzoekers van AdvIntel, Crypolaemus en anderen hebben ook bevestigd dat dit lijkt op de terugkeer van Emotet, die een andere coderingstechniek lijkt te gebruiken dan eerder werd gezien.
Op dit moment probeert Emotet zichzelf niet opnieuw te verspreiden, maar vertrouwt het op TrickBot om nieuwe infecties te verspreiden – maar het geeft wel aan dat degenen achter Emotet proberen het botnet weer aan de gang te krijgen.
“De relatie tussen deze nieuwe variant en de oude Emotet toont overlap in code en techniek,” James Shank, hoofdarchitect van gemeenschapsdiensten en senior beveiligingsevangelist bij Team Cymru, een cyberbeveiligingsbedrijf dat tot degenen behoorde die hielp Emotet in januari te verstoren, vertelde ZDNet in een e-mail.
“Het zal enige tijd duren om te zien hoe Emotet opnieuw opbouwt en of het weer 's werelds gevaarlijkste malware' kan worden. Je kunt er zeker van zijn dat degenen die hebben geholpen om het de eerste keer te verwijderen, de wacht houden. Het komt niet als een verrassing dat Emotet weer opdook. Sterker nog, meer mensen vragen zich misschien af waarom het zo lang duurde”, voegde hij eraan toe.
ZIE: Deze mysterieuze malware kan miljoenen routers en IoT-apparaten bedreigen
Cybersecurity-onderzoekers hebben een lijst opgesteld met command and control-servers die netwerkbeheerders kunnen blokkeren om Emotet-infecties te helpen voorkomen.
Om te voorkomen dat systemen het slachtoffer worden van Emotet, Trickbot en andere malware-loaders, wordt aanbevolen om beveiligingspatches toe te passen wanneer ze worden vrijgegeven om te voorkomen dat cybercriminelen misbruik maken van bekende kwetsbaarheden, en dat gebruikers hiervan op de hoogte worden gesteld van de gevaren van phishing-e-mails.
MEER OVER CYBERVEILIGHEID
Ransomware-bendes gebruiken deze 'meedogenloze' tactieken als ze streven naar grotere uitbetalingenEmotet-botnet geoogst 4.3 miljoen e-mailadressen. Nu gebruikt de FBI Have I Been Pwned om de slachtoffers te waarschuwenBedrijven praten er niet over slachtoffer te zijn van cyberaanvallen. Daar moet verandering in komenHet Amerikaanse ministerie van Justitie beschuldigt de Letse staatsburger van het gebruik van Trickbot-malwareRansomware: het is een 'gouden tijdperk' voor cybercriminelen – en het kan erger worden voordat het beter wordt< /strong> Beveiligings-tv | Gegevensbeheer | CXO | Datacenters