Onderzoekers identificeren een nieuwe Emotet-campagne die phishing-e-mails en malware verspreidt naar doelen over de hele wereld.

istock-519335916.jpg
Afbeelding: iStockphoto / the-lightwriter

Een van ’s werelds meest productieve botnets is teruggekeerd en probeert opnieuw malware aan phishing-aanvallen te leveren. Emotet begon zijn leven als bank trojan voordat hij uitgroeide tot een botnet, dat zijn criminele exploitanten verhuurd aan andere hackers om hun eigen malware op eerder gecompromitteerde machines af te leveren.

Dat was de kracht van het botnet dat vorig jaar op een gegeven moment  verantwoordelijk was voor bijna twee derde van de kwaadaardige payloads die werden geleverd bij phishing-aanvallen .

Maar nadat hij eind 2019 leek te zijn verdwenen, is Emotet nu terug met een gigantische e-mail-spamcampagne, zoals gedetailleerd beschreven door onderzoekers van cybersecuritybedrijf Proofpoint .

Bekend als TA542, hervatte de hack operatie achter Emotet de activiteit op maandag 13 januari met een campagne die voornamelijk gericht was op farmaceutische bedrijven in de VS, Canada en Mexico. Maar ook activiteit in:

  1. Australië
  2. Oostenrijk
  3. Canada
  4. Duitsland 
  5. Hong Kong
  6. Italië  
  7. Japan
  8. Mexico
  9. Singapore
  10. Zuid-Korea
  11. Spanje
  12. Zwitserland 
  13. Taiwan
  14. Verenigde Arabische Emiraten 
  15. Verenigde Staten

Een van de phishing-lokmiddelen bestond uit een korte e-mail die beweerde een ‘SOC-rapport’ te bevatten voor de datum waarop het bericht werd verzonden, samen met een bijgevoegd Word-document. Dit document bevat de schadelijke payload.

Dit bleek echter slechts een testrun te zijn voor het lanceren van een veel bredere spamcampagne, omdat de aanvallen de volgende dag over de hele wereld waren verspreid. De e-mails van Emotet zijn gespot voor potentiële slachtoffers in Noord-Amerika, Europa, Zuidoost-Azië en Australië.

De talen die in de phishing-lokmiddelen worden gebruikt, zijn ook uitgebreid; ze gebruikten alleen Engels op de eerste dag van de campagne, maar op de tweede dag begonnen ze ook Chinees, Duits, Italiaans, Japans en Spaans te gebruiken. De campagne breidde zich ook uit om doelen na te streven in verschillende industrieën.

| Softwaregeek
Bron: Proofpoint

“Emotet is een van ’s werelds meest verstorende bedreigingen en organisaties we moeten de terugkeer ervan serieus nemen. Ze hebben een enorme verzendinfrastructuur niemand raakt volumes zoals zij”,

zegt Sherrod DeGrippo, senior directeur voor onderzoek naar en detectie van bedreigingen bij Proofpoint.

“recente toename van activiteit van TA542 laat zien dat bedreigingsfactoren slimmer werken, niet harder. Ze namen 150 dagen vrij in 2019, zelfs met de pauzes, zijn ze ongelooflijk effectief,”

voegde ze eraan toe.

De verwachting is dat Emotet in de loop van het jaar kwaadaardige activiteiten zal voortzetten, of het nu gaat om campagnes om nieuwe Windows-machines aan te sluiten op zijn botnet-netwerk of om extra campagnes door groepen te hacken die de infrastructuur voor hun eigen doeleinden hebben verhuurd.

Om te beschermen tegen het slachtoffer worden van Emotet-campagnes, bevelen onderzoekers aan dat organisaties de nodige stappen ondernemen om ervoor te zorgen dat e-mail zo veilig mogelijk is en om gebruikers te trainen op hun hoede te zijn voor onverwachte e-mails die hen aanmoedigen om dringende actie te ondernemen, zoals klikken op links of het openen van bijlagen .

“Het is belangrijk dat beveiligingsteams hun e-mailkanaal blijven beveiligen en gebruikers informeren over de verhoogde risico’s van e-mailbijlagen.” 

aldus DeGrippo.

Pin It on Pinterest