ESET Research publiceert een samenvatting van wat er gebeurde met het Emotet-botnet sinds zijn comeback na een korte verwijdering. Emotet is een malwarefamilie actief sinds 2014 en beheerd door een cybercriminele groep die bekend staat als Mealybug of TA542. Het begon als een bank-trojan, evolueerde later naar een botnet dat wereldwijd een van de meest voorkomende bedreigingen werd.
· Emotet lanceerde meerdere spamcampagnes sinds het, na verwijdering in 2021, opnieuw verscheen.
· Sindsdien heeft Mealybug, de cybercriminaliteitsgroep die Emotet beheert, meerdere nieuwe modules gemaakt en alle bestaande modules heel wat verbeterd.
· De operatoren van Emotet hebben dan veel moeite gedaan om monitoring en tracking van hun botnet te vermijden.
· Momenteel is Emotet stil en niet actief, wellicht wegens het identificeren van een nieuwe effectieve aanvalsvector.
· Sinds 2022 waren de meeste door ESET gedetecteerde aanvallen gericht op Italië, Spanje, Mexico, Zuid-Afrika en Japan (bijna de helft van het totaal).
BRATISLAVA – 6 juli 2023 – ESET Research publiceert een samenvatting van wat er gebeurde met het Emotet-botnet sinds zijn comeback na een korte verwijdering. Emotet is een malwarefamilie actief sinds 2014 en beheerd door een cybercriminele groep die bekend staat als Mealybug of TA542. Het begon als een bank-trojan, evolueerde later naar een botnet dat wereldwijd een van de meest voorkomende bedreigingen werd. In januari 2021 was Emotet het doelwit van een beperkte verwijdering door een internationale, gezamenlijke inspanning van acht landen, gecoördineerd door Eurojust en Europol. In november 2021 kwam Emotet terug en lanceerde meerdere spamcampagnes met een abrupt einde in april 2023. In de laatste campagnes van 2022-2023 waren de meeste door ESET gedetecteerde aanvallen gericht op Italië, Spanje, Mexico, Zuid-Afrika en Japan (bijna de helft).
“Emotet verspreidt zich via spam-mails. Het kan informatie exfiltreren en malware van derden leveren aan gecompromitteerde computers. De operatoren van Emotet zijn niet erg kieskeurig over hun doelwitten en installeren hun malware op systemen van individuen, bedrijven en groter organisaties”, zegt Jakub Kaloč, de ESET-onderzoeker die aan de analyse werkte.
Van eind 2021 tot midden 2022 verspreidde Emotet zich voornamelijk via kwaadaardige Microsoft Word- en Microsoft Excel-documenten met ingewerkte VBA-macro’s. In juli 2022 bracht Microsoft wijzigingen voor alle malwarefamilies zoals Emotet en Qbot – die als distributiemethode phishing-mails met kwaadaardige documenten hadden gebruikt – door VBA-macro’s uit te schakelen in documenten die van internet waren verkregen.
“Het uitschakelen (door autoriteiten) van de belangrijkste aanvalsvector van Emotet maakte dat de operatoren op zoek gingen naar nieuwe manieren om hun doelen te compromitteren. Mealybug begon met kwaadaardige LNK- en XLL-bestanden te experimenteren. Eind 2022 hadden de operatoren van Emotet echter moeite om een nieuwe aanvalsvector te vinden die even effectief zou zijn als VBA-macro’s. In 2023 voerden ze drie verschillende malspam-campagnes uit, die elk een iets andere inbraakroute en social engineering-techniek testten”, zegt Kaloč. “De kleinere omvang van de aanvallen en de voortdurende wijzigingen in de aanpak kunnen wijzen op ontevredenheid over de resultaten”.
Later integreerde Emotet een lokmiddel in MS OneNote en ondanks waarschuwingen dat dit kon leiden tot schadelijke inhoud, hadden mensen de neiging erop te klikken.
Toen het terug verscheen, kreeg het tal van upgrades. De opvallende kenmerken waren dat het botnet zijn cryptografische schema veranderde en heel wat nieuwe verduisteringen implementeerde om de modules te beschermen. Sinds hun terugkeer hebben de operatoren van Emotet aanzienlijke inspanningen geleverd om monitoring en tracking van hun botnet te voorkomen. Daarnaast hebben ze tal van nieuwe modules geïmplementeerd en bestaande modules verbeterd om winstgevend te blijven.
Emotet wordt via spam-mails verspreid. Mensen vertrouwen die e-mails vaak, omdat die met succes een techniek voor het kapen van e-mailthreads gebruikt. Vóór zijn verwijdering gebruikte Emotet modules met namen als Outlook Contact Stealer en Outlook Email Stealer, die e-mails en contactgegevens van Outlook konden stelen. Omdat niet iedereen Outlook gebruikt, richtte Emotet zich na de verwijdering op een gratis alternatieve e-mailtoepassing: Thunderbird. Bovendien begon het de Google Chrome Credit Card Steale-module te gebruiken, die informatie steelt over creditcards opgeslagen in de Google Chrome-browser.
Volgens onderzoek en telemetrie van ESET zijn de Emotet-botnets sinds begin april 2023 stil geweest, wellicht als gevolg van het vinden van een nieuwe effectieve aanvalsvector. De meeste aanvallen die ESET sinds januari 2022 tot vandaag heeft gedetecteerd, waren gericht op Italië (13%), Spanje (5%), Mexico (5%), Zuid-Afrika (4%) en Japan (43%).
Voor meer technische informatie over Emotet, lees de blog “What’s up with Emotet – A brief summary of what happened with Emotet since its comeback” op WeLiveSecurity. Volg ESET Research op Twitter voor het laatste nieuws van ESET Research.
