Emotet, een botnet en volgens Europol "de gevaarlijkste malware ter wereld", vertoonde in maart 2022 een wereldwijde groei van meer dan 200%, zo blijkt uit telemetrie van Kaspersky. Deze groei wijst erop dat de dreigingsactoren achter het botnet stappen hebben ondernomen om hun kwaadaardige activiteiten voor het eerst sinds de comeback in november 2021 aanzienlijk op te voeren. Deze bevindingen maken deel uit van het nieuwste Kaspersky-onderzoek dat de modules en recente activiteit van Emotet ontleedt.
Emotet is zowel een botnet, een gecontroleerd netwerk van geïnfecteerde apparaten dat wordt gebruikt voor aanvallen op andere apparaten, als malware die in staat is om verschillende soorten data, vaak met betrekking tot financiën, uit geïnfecteerde apparaten te halen. Het wordt beheerd door ervaren dreigingsactoren en is uitgegroeid tot een van de grootste spelers in de cybercriminele wereld. Emotet werd in januari 2021 uitgeschakeld na een gezamenlijke inspanning van diverse rechtshandhavingsinstanties uit verschillende landen. In november 2021 keerde het botnet echter terug en sindsdien is het geleidelijk aan actiever geworden. Eerst door zich te verspreiden via Trickbot, een ander botnetwerk, en nu zelf door middel van kwaadaardige spamcampagnes.
Kaspersky telemetrie laat zien dat het aantal slachtoffers omhoog is geschoten van 2.843 in februari 2022 naar 9.086 in maart, waarbij meer dan drie keer zoveel gebruikers zijn aangevallen. Het aantal aanvallen dat door Kaspersky-oplossingen is gedetecteerd, is navenant gegroeid - van 16.897 in februari 2022 tot 48.597 in maart.
Groei van het aantal Emotet-detecties, november 2021-maart 2022
Een typische Emotet-infectie begint met spamberichten die Microsoft Office-bijlagen bevatten met een kwaadaardige macro. Met behulp van deze macro kan de actor een kwaadaardig PowerShell-commando starten om een installatieprogramma te starten, die vervolgens kan communiceren met een command-and-control server om modules te downloaden en te starten. Deze modules kunnen allerlei verschillende taken uitvoeren op het geïnfecteerde apparaat. Onderzoekers van Kaspersky konden 10 van de 16 modules achterhalen en analyseren, waarbij de meeste in het verleden in een bepaalde vorm door Emotet zijn gebruikt.
De huidige versie van Emotet kan geautomatiseerde spamcampagnes opzetten die vanaf de geïnfecteerde apparaten verder over het netwerk worden verspreid, e-mails en e-mailadressen uit Thunderbird- en Outlook-applicaties extraheren en wachtwoorden verzamelen van populaire webbrowsers, zoals Internet Explorer, Mozilla Firefox, Google Chrome, Safari en Opera, om zo de accountgegevens van verschillende e-mailadressen te verzamelen.
Alexey Shulmin, security-onderzoeker bij Kaspersky: "Emotet was een zeer geavanceerd netwerk dat veel organisaties over de hele wereld achtervolgde. De uitschakeling ervan was een belangrijke stap in de richting van het terugdringen van bedreigingen wereldwijd door hun netwerk uit elkaar te halen en het voor meer dan een jaar van de lijst met grootste bedreigingen te halen. Hoewel het aantal aanvallen niet vergelijkbaar is met de eerdere omvang van de activiteiten van Emotet, wijst de verandering in dynamiek op een significante activering van de operators van het botnet en een grote kans dat deze dreiging zich de komende maanden verder verspreidt.” Bekijk de documentaire over Emotet's takedown op Tomorrow Unlocked. Kijk voor meer informatie over Emotet-modules op Securelist.com.