×
emotet.png
De Emotet malware bende is nu met behulp van een tactiek die al eerder gezien gebruikt door de natie-staat hackers.
De groep is gespot deze week de heropleving van oude e-mail discussielijnen en het injecteren van links naar kwaadaardige bestanden.
Gebruikers die betrokken zijn in de vorige e-mails ontvangt een e-mail met een vervalst te verschijnen van één van hun eerdere correspondenten, maar eigenlijk afkomstig uit Emotet servers.
De e-mail conversatie zou zijn intact gelaten, maar de Emotet bende zou plaats van een URL op de top van de e-mail die zou koppelen aan een Emotet-geïnfecteerde bestand, of voeg een kwaadaardig document aan de bestaande e-mailconversatie.
Tactiek is gestolen van de Noord-koreaanse hackers
De tactiek is niet nieuw. Terug in oktober 2017, Palo Alto Networks gemeld dat een Noord-koreaanse hack groep deed hetzelfde, het plaatsen van malware in oude e-mail-threads.
Het verschil is dat de Noord-koreaanse groep was het hacken van e-mail accouns, een voor een, te kapen oude e-mail-threads.
De Emotet bende heeft genomen een verschillende aanpak. Ze profiteren van e-mail-threads ze begon de massa-de oogst van de eerder geïnfecteerd victms in oktober vorig jaar.
De groep experimenteerde met het kapen van gestolen e-threads als spam distributie techniek de afgelopen maand, volgens een Minerva Labs rapport, maar ze begonnen met het op grote schaal deze week, volgens het beveiligingsbedrijf Cofense, en security-onderzoeker Marcus “MalwareTech” Hutchins.
In oktober vorig jaar Emotet begon te stelen van de inhoud van slachtoffer e-mails. Deze week verschijnt Emotet is het gebruik van de gestolen e-mails te nep antwoorden op bestaande e-ketens met malware op een massale schaal.
— MalwareTech (@MalwareTechBlog) 10 April 2019
Huidige Emotet spam lijkt te zijn van een hefboomwerking e-gesprekken die zijn gestolen vóór November 2018, Cryptolaemus Groep security-onderzoeker Joseph Roosen vertelde ZDNet in een interview. Cofense is van mening dat meer recent geoogst e-mail-threads gebruikt zal worden in de toekomst.
Enlgish en duits e-mail-threads zijn gekaapt
Deze nieuwe Emotet e-mail draad spam is niet beperkt tot Enlgish e-mails, maar zowel in het engels en duits e-mail-threads worden nieuw leven ingeblazen, Roosen ons verteld.
“De geïnjecteerd antwoord is meestal voorafgegaan met ‘Verbonden is met uw vertrouwelijke documenten’, zei hij. “Deze templates zijn vrij beperkt in uitvoeren en er niet veel in vergelijking met de ‘normale’ [Emotet] malspam,” Roosen vertelde ZDNet.
Niettemin, de Emotet team lijkt te hebben zijn aandacht volledig achter deze spam-campagne. Normaal gesproken, de Emotet botnet is verdeeld in twee clusters, naam E1 en E2. Roosen vertelde ZDNet dat beide clusters zijn nu bezig spuwen gekaapt e-mail-threads.
Afbeelding: Trend Micro
×
emotet-dual-infrastructuur.png
Als in de loop van de volgende dagen ontvangt u een antwoord van een oude e-mail draad, betekent dit dat je de meeste kans dat het doelwit met Emotet malware.
Bovendien, dit betekent ook dat minstens één persoon in die e-mail draad is geïnfecteerd met Emotet in het verleden.
Als het een zakelijke draad, dit betekent dat één van de medewerkers of bedrijven in die thread is al aangetast door Emotet in de afgelopen zes maanden, en misschien hebben gevoelige gegevens gestolen van hun netwerken al.
Vandaar, elke systeembeheerder zien van een van deze e-mails aankomen op hun bedrijf e-mail server moet beginnen met scannen naar Emotet artefacten op zijn interne netwerk meteen.
Emotet –vandaag de dag de meest gevaarlijke malware
Momenteel Emotet wordt beschouwd als een van de meest gevaarlijke malware stammen. De malware een keer gebruikt om een banking trojan, maar heeft omgevormd tot een veelzijdig malware “downloader” in de loop van de afgelopen twee jaar.
Emotet is nu een gigantische botnet van geïnfecteerde computers die de exploitanten zijn verhuur aan andere criminele bendes. Bijvoorbeeld rapporten van CrowdStrike, FireEye, Kryptos Logica, McAfee, IBM, en Cybereason, zeggen allemaal dat Emotet is gebruikt als een springplank voor de Ryuk, LockerGoga, en BitPaymer ransomware stammen.
Een blik op drie #Emotet infecties die uiteindelijk resulteerde in #ransomware vallen: https://t.co/1TtnJrDmDB pic.twitter.com/z267ggdA9o
— Barkly (@barklyprotects) 30 oktober 2018
Microsoft heeft een formele waarschuwing over Emotet naar bedrijven over de hele wereld in November 2017, wanneer Emotet klaar had trasnforming van een banking trojan in een malware downloader.
Sindsdien Emotet is uitgegroeid tot een enorme grootte. Een Spamhaus rapport zet het nummer van Emotet infecties voor de maanden februari en Maart 2019 op 47,000.
Aaron Higbee, Cofense Mede-Oprichter en CTO, vertelde ZDNet dat zijn bedrijf “heeft gezien dan 700k infecties tijdens de 12 laatste maanden van het toezicht.”
Verder zijn deze infecties nummers zijn alleen krassen op het oppervlak, als Emotet bots hebben ook de mogelijkheid om zijdelings in een besmette netwerk en het maken van nog meer slachtoffers, waarvan sommige zijn moeilijk of bijna onmogelijk op te sporen nauwkeurig, als Hutchins zei vorige week op Twitter.
Ja, 47K-infecties werden waargenomen sinds de afgelopen twee maanden alleen , met Emotets zijwaartse beweging van de mogelijkheden en het gebruik van de rotatie-c2 ‘ s, het werkelijke aantal infecties zouden het zeer hoge
— Raashid Bhat (@raashidbhatt) 3 April 2019
Higbee ook mee eens.
“[De 700k] – nummer moet hierbij rekening te houden met verdere slachtoffers door de zijdelingse beweging,” Higbee ons verteld. “Op gemiddelde, zien we ongeveer 20k+ nieuwe unieke infecties per week. Terwijl dit aantal komt niet overeen met de huidige lopend totaal binnen het botnet, het spreekt tot de werkzaamheid van de Emotet groepen tactiek.”
Bovendien, als een testament te Emotet de prevalentie op de huidige malware landschap, de malware is op de eerste plaats in de lijst van top 10 malware stammen geanalyseerd op de Enige.Voer virtualization service, en staat op de tweede plaats in de Check Point ‘ s top 10 malware families ranking voor Maart 2019 (de ranking is enigszins controversieel en onnauwkeurig, maar Emotet rang geeft nog steeds een goede indruk van de malware de alomtegenwoordigheid).
Week de TOP 10 van bedreigingen door het te uploaden naar ANYRUN!
⬇️ #Emotet 445 (847)
⬆️ #Ursnif 155 (122)
⬆️ #GandCrab 136 (75)
⬇️ #Lokibot 115 (145)
⬇️ #NanoCore 106 (115)
⬆️ #HawkEye 76 (75)
⬆️ #AgentTesla 73 (66)
⬇️ #AZORult 64 (69)
⬇️ #Formbook 63 (70)
⬇️ #RemCos 61 (55)https://t.co/OQxYYBKfHR— GEEN.UITVOEREN (@anyrun_app) 8 April 2019
Emotet de nieuwe tactiek is vrij efficiënt
Hefboomeffect van de e-mail conversatie draden voor het verspreiden van malware is niet nieuw. Bijvoorbeeld, de URSnif banking trojan is een soortgelijke tactiek in het vorige jaar, in Maart en oktober 2018.
De differenec is dat de URSnif bende vervaardigd met de e-mail draden vanuit het niets. Het niet gebruiken van de authentieke gesprekken die ontvangers zijn het meest waarschijnlijk om te onthouden, en inherent vertrouwen.
“Dit is een nieuwe tactiek voor Emotet maar de verwachting was al sinds de e-stealer module werd gezien in November 2018 door KryptosLogic,” Roosen vertelde ZDNet.
“Ik denk dat dit een zeer gevaarlijke situatie voor verschillende redenen. Ondanks de exfiltrated e-mail conversaties worden gedateerd, is het gebruik van eerder verzonden materiaal wekt een niveau van comfort voor de meeste gebruikers vanwege de vertrouwdheid.
“[We] weet, de meeste malspam wordt verzonden als een start van een nieuw gesprek/thread. Het is uniek om een echte reactie van een ‘bekend’ bron met uw vorige e-mails waarnaar wordt verwezen. Omdat dat de bekendheid, de ontvangers kunnen laten de hoede en het uitvoeren van acties ze kunnen niet normaal doen met een nieuwe e-mail,” Roosen ons verteld.
“De andere reden waarom dit gevaarlijk is, omdat van de gegevens binnen de draden van de e-mails en hoe het kan worden met een overtreding en veiligheid nachtmerrie. Denk GDPR/HIPPA [overtredingen],” Roosen zei, wijzend ZDNet naar een incident waarbij een Emotet infectie omgezet in een data breach notification.
De verschillende security-onderzoekers met wie ZDNet sprak vandaag zijn nu in de gaten houden van Emotet om te zien of de komende campagnes zal beginnen met het verzenden van deze e-mail draden aan personen die niet zijn opgenomen in de oorspronkelijke e-mail loops, potentieel bloot prive-gesprekken te buitenstaanders, concurrerende bedrijven, of een andere belanghebbende partijen –die zou waarschijnlijk wet op de hun aangeboren nieuwsgierigheid en zien wat hun concurrentie of bussiness partners hebben gedaan, en besmet raken met Emotet langs de weg. Vergeet niet: Nieuwsgierigheid doodde de kat!
Gerelateerde malware en cybercriminaliteit dekking:
Cybercrime markt de verkoop van een volledige digitale vingerafdrukken van meer dan 60.000 usersTriton hackers terug met nieuwe, geheime industriële attackReveton ransomware distributeur veroordeeld tot zes jaar in de gevangenis in de UKSecurity onderzoekers ontdekken iOS-versie van Exodus Android spywareCybercrime groep FIN6 evolueert van POS malware te ransomwareUS regering publiceert details op Noord-Korea HOPLIGHT malware Hoe de Verenigde Naties helpt bij het bestrijden van de wereldwijde cybercriminaliteit TechRepublicApple verwijderd populaire app die werd stiekem stelen van uw browser geschiedenis CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters