ESET Research: beruchte botnet Emotet keert terug en richt zich op Japan en Zuid-Europa

Next story
  • Emotet heeft meerdere spamcampagnes gelanceerd sinds het opnieuw verscheen na de takedown in 2021. 
  • Sindsdien heeft de cybercriminele groep Mealybug, die Emotet beheert, meerdere nieuwe modules gemaakt en meerdere keren de bestaande modules verbeterd.
  • De beheerders van Emotet hebben veel moeite gedaan om het monitoren en volgen van hun botnet te voorkomen sinds hun terugkeer.
  • Op dit moment is Emotet stil en inactief, waarschijnlijk omdat er een nieuwe effectieve aanvalsvector wordt gezocht
  • Sinds 2022 waren de meeste aanvallen die ESET detecteerde gericht op Japan (bijna de helft), Italië, Spanje, Mexico en Zuid-Afrika.

Sliedrecht, 6 juli 2023 – ESET-onderzoekers hebben een overzicht gepubliceerd van de activiteiten van het Emotet-botnet sinds de terugkeer na de takedown in 2021. Emotet is een malwarefamilie die sinds 2014 actief is en wordt beheerd door een cybercriminele groep die bekend staat als Mealybug of TA542. Hoewel Emotet begon als een banktrojan, ontwikkelde het zich later tot een botnet dat wereldwijd één van de meest voorkomende dreigingen werd. In januari 2021 was Emotet het doelwit van een uitschakeling als gevolg van een internationale, gezamenlijke inspanning van acht landen, gecoördineerd door Eurojust en Europol. Emotet kwam weer tot leven in november 2021 en lanceerde meerdere spamcampagnes met een abrupt einde in april 2023. In de laatste campagnes van 2022-2023 waren de meeste aanvallen die ESET detecteerde gericht op Japan (bijna de helft), Italië, Spanje, Mexico en Zuid-Afrika.

"Emotet verspreidt zich via spam e-mails. Het kan informatie exfiltreren van, en malware van derde partijen leveren aan, gecompromitteerde computers. De exploitanten van Emotet zijn niet erg kieskeurig wat betreft hun doelwitten en installeren hun malware op systemen van zowel individuen als bedrijven en grotere organisaties," zegt ESET-onderzoeker Jakub Kaloč, die aan de analyse werkte.

Eind 2021 en tot midden 2022 verspreidde Emotet zich voornamelijk via kwaadaardige MS Word- en MS Excel-documenten met ingesloten VBA-macro's. In juli 2022 veranderde Microsoft het speelveld voor alle malwarefamilies zoals Emotet en Qbot - die phishing-e-mails met schadelijke documenten als verspreidingsmethode hadden gebruikt - door VBA-macro's in van het internet verkregen documenten uit te schakelen.

"Het uitschakelen (door de autoriteiten) van de belangrijkste aanvalsvector van Emotet zorgde ervoor dat de beheerders op zoek gingen naar nieuwe manieren om hun doelwitten te compromitteren. Mealybug begon te experimenteren met kwaadaardige LNK- en XLL-bestanden. Tegen de tijd dat 2022 ten einde liep, worstelden de beheerders van Emotet echter met het vinden van een nieuwe aanvalsvector die net zo effectief zou zijn als VBA-macro's. In 2023 voerden ze drie verschillende malware-spamcampagnes uit, waarbij ze elk een iets andere inbraakroute en social engineering-techniek testten," legt Kaloč uit. "De krimpende omvang van de aanvallen en de voortdurende veranderingen in de aanpak kunnen echter duiden op ontevredenheid over de resultaten.

Later integreerde Emotet een lokmiddel in MS OneNote en ondanks waarschuwingen dat deze actie zou kunnen leiden tot schadelijke inhoud, hadden mensen de neiging om erop te klikken. Nadat het opnieuw verscheen, kreeg het meerdere upgrades. De opvallende kenmerken waren dat het botnet zijn cryptografische schema veranderde en meerdere nieuwe verduisteringen implementeerde om hun modules te beschermen. De beheerders van Emotet hebben sinds hun terugkeer veel moeite gedaan om het monitoren en volgen van hun botnet te voorkomen. Daarnaast hebben ze meerdere nieuwe modules geïmplementeerd en bestaande modules verbeterd om winstgevend te blijven.

Emotet wordt verspreid via spam e-mails en mensen vertrouwen deze e-mails vaak, omdat het succesvol gebruik maakt van een e-mail thread hijacking techniek. Voor de uitschakeling gebruikte Emotet modules die we Outlook Contact Stealer en Outlook Email Stealer noemen en die e-mails en contactgegevens uit Outlook konden stelen. Maar omdat niet iedereen Outlook gebruikt, richtte Emotet zich na de takedown ook op een gratis alternatief e-mailprogramma: Thunderbird. Daarnaast begon het Google Chrome Credit Card Stealer module te gebruiken, die informatie steelt over creditcards die zijn opgeslagen in de Google Chrome browser.

Volgens onderzoek en telemetrie van ESET zijn Emotet-botnets stil sinds begin april 2023, hoogstwaarschijnlijk door het zoeken naar een nieuwe effectieve aanvalsvector. De meeste aanvallen die ESET sinds januari 2022 tot vandaag heeft gedetecteerd, waren gericht op Japan (43%), Italië (13%), Spanje (5%), Mexico (5%) en Zuid-Afrika (4%).

Emotet detecties door ESET-telemetrie: jan 2022 - jun 2023

Voor meer technische informatie over Emotet, bekijk de blogpost "What's up with Emotet - A brief summary of what happened with Emotet since its comeback" op WeLiveSecurity. Volg ESET Research op Twitter voor het laatste nieuws van ESET Research.

Over ESET

Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en Twitter.