‘Emotet-malware maakt explosieve groei door’

Het aantal varianten van de Emotet-malware maakt een explosieve groei door, zo ontdekte beveiligingsbedrijf G DATA. De malware richtte zich bij de ontdekking in 2014 nog op financiële instellingen, maar wordt nu breed ingezet voor bijvoorbeeld bedrijfsspionage.

Emotet is één van de meest destructieve financiële trojans ter wereld, en werd ontwikkeld door een groep genaamd Mealybug. De malware is als platform beschikbaar voor andere hackers. In februari waarschuwde Menlo Security al dat de malware weer terug was, en ook nog eens met nieuwe technieken.

Nu komt G DATA dus ook met een waarschuwing. Het beveiligingsbedrijf stelt dat er in het afgelopen halfjaar meer varianten van de malware waren dan in heel 2018. Waar er vorig jaar 28.000 varianten waren – gemiddeld 70 nieuwe versies per dag – waren dat er in de eerste helft van dit jaar 33.000, met gemiddeld 200 nieuwe versies per dag.

Nieuwe versies

De beveiligingsonderzoekers van G DATA zien dat de malware met korte tussenpozen wordt aangepast om het een nieuw uiterlijk te geven. Daardoor ontstaan er nieuwe versies, die lastiger zijn om te detecteren.

“De malware fungeert als een soort bruggenhoofd op de systemen van geïnfecteerde gebruikers en wordt meestal verspreid via Word documenten met schadelijke macro’s”, vertelt Eddy Willems, Security Evangelist bij G DATA.

“Social engineering methoden worden vervolgens gebruikt om gebruikers ertoe te bewegen ze te activeren. Een Powershell opdracht wordt vervolgens op de achtergrond uitgevoerd om de daadwerkelijke malware te installeren. Na infectie kan Emotet talrijke modules downloaden.”

Brute force

De malware werd in eerste instantie dus met name gebruikt voor aanvallen op financiële instellingen. Tegenwoordig is het aantal aanvallen op sectoren als de gezondheidszorg, verzekeringswereld en de financiële sector ook flink toegenomen, aldus Menlo Security in februari.

Bovendien is de inzet van de malware veranderd. De malware doet tegenwoordig ook dienst als een brute-force aanvaller. Verder kan het Business Email Compromise (BEC) berichten opzetten via gecompromitteerde accounts, om achterdeurtjes te maken en financiële gegevens te stelen.