Emotet Botnet opnieuw actief en bron van grote spamcampagnes

  1. 16 okt 2019
  2. 0 reacties

phishing2

In de nieuwste Global Threat Index (september 2019) waarschuwt het researchteam van Check Point dat een van de beruchtste botnets weer actief is. Emotet was de grootste botnet in de eerste helft van het jaar en verantwoordelijk voor het verspreiden van verschillende wijdverspreide spamcampagnes. 

De onderzoekers zagen in augustus de eerste tekenen dat Emotet opnieuw actief was en volop spammails verspreidde. Sommige van die Emotet-spamcampagnes bevatten e-mails met een link om een ​​kwaadaardig Word-bestand te downloaden. Andere spammails hebben dit schadelijke document als bijlage. Wie het bestand opent, wordt gevraagd om de macro’s in te schakelen. Vervolgens wordt de Emotet-malware automatisch op de computer van het slachtoffer geïnstalleerd. In september was Emotet wereldwijd de 5e meest voorkomende malware (nummer 8 in Nederland). 

“Het is voorlopig onduidelijk waarom de Emotet-botnet 3 maanden lang inactief was, maar een eerste analyse wijst erop dat de cybercriminelen achter deze malware diverse functies en mogelijkheden aan het updaten waren. Anti-malwareoplossingen van de nieuwste generatie kunnen automatisch de verdachte inhoud uit e-mails elimineren voordat deze de eindgebruikers bereikt. Maar misschien nog belangrijker is dat organisaties hun werknemers waarschuwen voor de risico's van phishing-mails, zodat ze goed op de hoogte zijn van het gevaar van het openen van e-mailbijlagen of het klikken op koppelingen die niet afkomstig zijn van een vertrouwde bron of contactpersoon”, zegt Maya Horowitz, Director Threat Intelligence & Research, Products bij Check Point Software Technologies. 

Hitlijst van malware

Uit de Global Threat Index van september blijkt dat de hitlijst van ‘populaire’ malware een nieuwe nummer 1 heeft. Jsecoin (een JavaScript-miner die in websites kan worden geëmbed) verstootte XMRig van de eerste plaats. XMRig is open-source CPU-mining software die wordt gebruikt om het mining-proces van de Monero-cryptocurrency te beïnvloeden. AgentTesla duikt voor het eerst de wereldwijde top drie binnen (nummer 4 in Nederland). Dit is een Remote Access Trojan die kan ingezet worden als keylogger of om wachtwoorden te stelen. Het kan volgen wat je invoert met het toetsenbord, welke screenshots je neemt en de inloggegevens van verschillende applicaties (Google Chrome, Mozilla FireFox en Microsoft Outlook) achterhalen. 

Bij malware voor mobiele devices (smartphones / tablets) blijft de rangschikking bovenaan ongewijzigd vergeleken met de vorige maand. Lotoor (een tool die kwetsbaarheden op het Android-besturingssysteem misbruikt om rootrechten op gecompromitteerde apparaten te verkrijgen) staat op nummer 1, gevolgd door AndroidBauts. Deze adware zoekt IMEI, IMSI, GPS-locatie en andere informatie over het apparaat om hierdoor de installatie van apps en snelkoppelingen van derden op de toestellen mogelijk te maken. 

‘Most Exploited’ lijst

Tot slot geeft Check Point in het rapport nog de meest uitgebuite securitylekken van september mee. In de afgelopen maand had de zogenaamde MVPower DVR Remote Code Execution-kwetsbaarheid een wereldwijde impact van 37%. Op de tweede plaats staat de kwetsbaarheid Linux System Files Information Disclosure, op de voet gevolgd door de Web Server Exposed Git Repository Information Disclosure. Via deze twee laatste zouden hackers op afstand gevoelige of account-gegevens kunnen stelen. Beide securitylekken troffen maar liefst 35% van de organisaties wereldwijd. 

De volledige lijst met populaire malwarefamilies in september is te vinden op de Check Point Blog