De bibliotheek voor digitale criminaliteit

Toename met 1200 procent detecties 'Emotet-malware' in periode juli tot september

Gepubliceerd op 5 november 2020 om 14:00

Toename met 1200 procent detecties 'Emotet-malware' in periode juli tot september

Er is een enorme toename van 'Emotet-malware' aanvallen. Cybercriminelen maken gebruik van machines die door de malware zijn gehackt om meer malware-infecties en ransomware campagnes te lanceren.

Het 'HP-Bromium Threat Insights Report' van oktober 2020 meldt een toename van 1200 procent in Emotet- detecties van juli tot september in vergelijking met de voorgaande drie maanden waarin de inzet van de malware leek af te nemen.

Spearphishing

Sinds de opkomst in 2018, ziet Emotet regelmatig actieve pieken en verdwijnt het om vervolgens weer terug te komen, iets waarvan onderzoekers suggereren dat het tot ver in 2021 zal doorgaan.

Emotet krijgt vaak voet aan de grond in netwerken via phishing-e-mails. Degenen die erachter zitten gebruiken 'thread-kaping' in een poging om de e-mails er legitiemer uit te laten zien. Mensen zullen eerder een bijlage downloaden als deze van een "collega" afkomstig is.

De aanvallen en kwaadaardige bijlagen worden aangepast. Afhankelijk van de locatie van het beoogde slachtoffer met phishing-e-mailsjablonen en aangepaste 'lok teksten' geschreven in het Engels, Frans, Duits, Nederlands, Grieks, Hindi, Italiaans, Japans, Spaans en Vietnamees.

Evolutie Emotet

Ondanks dat het zijn leven begon als een trojan voor banken, is de sleutel voor Emotet nu simpelweg om zoveel mogelijk machines in gevaar te brengen, door achterdeurtjes te creëren naar netwerken die de operators kunnen verkopen aan andere malware-operators als toegangspoort voor hun eigen kwaadaardige campagnes. Emotet-infecties zijn een populair startpunt voor ransomware-aanvallen.

"Het aanvallen van ondernemingen is in overeenstemming met de doelstellingen van de cybercriminelen van Emotet. De hackers willen dan bemiddelen met cybercriminelen voordat ze de toegang geven tot gecompromitteerde systemen. Op ondergrondse fora en marktplaatsen adverteren 'access brokers' vaak met kenmerken over organisaties die ze hebben gehackt. Zoals omvang en inkomsten van het gehackt bedrijf, gestolen data en eventuele andere waardevolle informatie. Zo maken ze het aantrekkelijk en overzichtelijker voor criminelen die willen toeslaan bij een reeds gehackt bedrijf.", zegt Alex Holland, senior malware-analist bij HP.

"Met name ransomware-operators worden steeds doelgerichter in hun aanpak om potentiële betalingen te maximaliseren, waarbij ze afstand nemen van hun gebruikelijke 'spray-and-Pray-tactieken' ", voegde hij eraan toe. "Dit heeft bijgedragen aan de stijging van de gemiddelde ransomware betalingen die met 60 procent zijn toegenomen."

Weerbaarheid

Om de weerbaarheid te verhogen tegen Emotet en andere malware aanvallen, wordt het aanbevolen dat organisaties 'e-mail content filtering' implementeren om verandering van kwaadaardige bijlage die succesvol wordt afgeleverd te verminderen.

Organisaties moeten er ook voor zorgen dat hun netwerk wordt gepatcht met de nieuwste beveiligingsupdates, omdat het een grote bijdrage kan leveren aan de bescherming tegen cyberaanvallen die gebruik maken van bekende kwetsbaarheden.

HP Bromium Threat Insights Report October 2020
PDF – 4.0 MB 12 downloads

Bron: threatresearch.ext.hp.com, zdnet.com


«   »