De Emotet-malware waar de Amerikaanse overheid eerder dit jaar voor waarschuwde gebruikt een lijst van zo'n 1000 wachtwoorden om andere systemen die in het netwerk aanwezig zijn te infecteren. Dat laat securitybedrijf Secureworks in een analyse weten.

Emotet is malware waarmee criminelen gegevens voor internetbankieren, wachtwoorden en andere informatie stelen. De initiële infectie door Emotet begint met een e-mail, die als bijlage bijvoorbeeld een Office-document met een kwaadaardige macro heeft. Zodra de gebruiker de macro activeert wordt de malware op het systeem geïnstalleerd. Emotet beschikt ook over een module waardoor de malware andere systemen binnen het netwerk kan aanvallen. Hiervoor maakt Emotet gebruik van Microsofts Server Message Block (SMB)-protocol. Zodra het systeem waar de malware via SMB verbinding mee maakt om een wachtwoord vraagt, gebruikt Emotet een lijst met zo'n 1000 wachtwoorden om toegang te krijgen.

Wanneer de inlogpoging succesvol is wordt de machine besmet en probeert de malware zich verder binnen het netwerk te verspreiden. In oktober raakten nog 600 computers van een Amerikaanse openbare bibliotheek met Emotet besmet, alsmede 620 machines van een Amerikaanse gemeente. Een bijkomend risico van Emotet is dat gebruikers niet meer op hun account kunnen inloggen. Sommige organisaties staan een beperkt aantal inlogpogingen op een account toe, waarna de toegang wordt geblokkeerd. "Het account lockout-secenario is een echt risico en een potentiële kopzorg voor organisaties", aldus Symantec.

Secureworks heeft de lijst van de ongeveer 1000 wachtwoorden die Emotet gebruikt openbaar gemaakt. Het securitybedrijf merkt op dat Emotet het belang van een goed wachtwoordbeleid aantoont. "Het verschil voor organisaties tussen het hebben van een sterk wachtwoordbeleid tegenover een zwak of helemaal geen wachtwoordbeleid wordt in het geval van Emotet gemeten in termen van honderden besmette computers, tientallen uren incident response en zelfs honderdduizenden dollars", zegt analist Mike McLellan.