Emotet malware agressief actief, hoe kunt u zich beschermen?

Tonny van der Cammen

Tonny van der Cammen is presales engineer Benelux bij Flowmon Networks

Emotet is de naam van een Trojaans paard dat zich verspreidt via e-mailbijlagen met macro’s, die links bevatten naar kwaadaardige sites. Door zijn polymorfe gedrag kan het traditionele opsporingsmethoden gebaseerd op handtekeningen omzeilen, waardoor Emotet-infecties moeilijk te detecteren en te bestrijden zijn. Als deze malware eenmaal een systeem heeft geïnfiltreerd, infecteert het allerlei processen en maakt het verbinding met een externe C&C-server om verdere instructies te ontvangen, downloads uit te voeren en gestolen gegevens te uploaden. Hoe kunt u zich beschermen tegen deze agressieve malware?

Wereldwijde verspreiding

Emotet misbruikt zakelijke e-mailberichten met factureringsinformatie als vermomming, waarbij het logo en de huisstijl van gerenommeerde organisaties wordt nagebootst om legitiem over te komen. Via deze strategie heeft de malware succesvol slachtoffers gemaakt in de VS (52% van alle aanvallen), Japan (22%) en landen van de EU. Een incident dat in december 2019 plaatsvond, leidde er zelfs toe dat de stad Frankfurt, waar de Europese Centrale Bank gevestigd is, haar volledige netwerk afsloot. De laatste maanden is deze hardnekkige malware weer agressief actief, in vergelijking met voorgaande jaren, onder andere meeliftend op de interesse voor informatie over het coronavirus uit China en waarschuwingen daarvoor.

Realtime monitoring versnelt detectie

De wereldwijde verspreiding illustreert waarom deze malware zo gevaarlijk is. Emotet is niet alleen immuun voor detectie via handtekeninggebaseerde beveiligingstoepassingen, maar manipuleert tevens menselijke basisemoties om binnen te komen. Sinds kort verspreidt deze hardnekkige malware zich zelfs via draadloze wifi-verbindingen en gedeelde opslagmedia. Voor een effectieve bescherming tegen Emotet malware zijn meerdere beveiligingsmaatregelen nodig, waaronder snelle detectie via monitoring van het netwerkgedrag en indicatoren van afwijkingen (IoC). Flowmon Networks heeft daarvoor de oplossing InformationStealers behavior pattern (BPattern) ontwikkeld, die standaard deel uitmaakt van Flowmon ADS.

BPatterns

BPatterns zijn beschrijvingen van hoe verschillende malware en hackers zich gedragen binnen een netwerk. Deze functionaliteit stelt securitytools in staat om bedreigingen van niet geautoriseerde en ongebruikelijke activiteiten te onderscheiden door al het netwerkverkeer in realtime te controleren en kritisch te beoordelen. In tegenstelling tot handtekeningen, behouden BP-patronen hun vermogen om malware te identificeren, zelfs als deze zichzelf transformeren om zich tijdens de levenscyclus verder te ontwikkelen. Omdat elke malware activiteiten ontplooit, zoals het downloaden en uploaden van data vanaf bepaalde URL’s, is BPatterns ook een effectief opsporingsmiddel voor Emotet-malware

Emotet analyse

Volgens een door Fortinet gepubliceerde analyse gebruikt Emotet 5 URL's om payload te downloaden en 61 hard-coded C&C servers. Deze informatie is uiteraard opgenomen in het BP-patroon en wordt gebruikt om Emotet-activiteiten te herkennen en infecties daarvan in te dammen voordat deze zich kunnen verspreiden. Als extra beschermingslaag is er ook al een BPattern voor TrickBot (TOR_Malware). Beide patronen worden regelmatig geüpdatet, afhankelijk van hoe de malware zich ontwikkelt en worden via periodieke updates aan alle gebruikers geleverd. Partner Orizon Systems waarschuwde Flowmon Networks voor de toegenomen activiteiten van Emotet en initieerde daarmee de recentste update.

Alert zijn voor e-mailbijlagen

Geen enkele bescherming is in de praktijk onfeilbaar en daarom wordt iedereen geadviseerd om meerdere lagen van cyberbeveiliging te installeren en actueel te houden - inclusief antivirus, IoC-detectie op firewalls, inbraakdetectiesystemen (IDS) en gedragsanalyses op het netwerk. Omdat Emotet zichzelf verspreidt via vervalste e-mails, moeten mensen altijd voorzichtig zijn met het openen van bijlagen. Vooral medewerkers die dagelijks werken met rekeningen en documenten van externe partijen, moeten elke verdachte of ongewone e-mail direct aan de securityverantwoordelijke melden.