image

Duitse overheid meldt aanzienlijke schade door Emotet-malware

maandag 23 september 2019, 17:14 door Redactie, 11 reacties

De afgelopen dagen heeft de Emotet-malware aanzienlijke schade aan de Duitse economie veroorzaakt, zo meldt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Zowel overheidsinstanties als bedrijven kregen met infecties te maken.

Vorige week werd bekend dat Emotet na een periode van vier maanden weer via e-mail werd verspreid. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren.

Om potentiële slachtoffers te verleiden de e-mailbijlage te openen lift Emotet mee op eerdere e-mailcommunicatie van het slachtoffer. Zodra de malware het e-mailwachtwoord van een slachtoffer heeft bemachtigd wordt er een antwoord opgesteld op nog ongelezen e-mails in de inbox van het slachtoffer. Daarbij wordt de inhoud van de eerdere e-mail gequoot en voorzien van de tekst om de meegestuurde bijlage te openen. Ook maakt deze werkwijze het lastiger voor spamfilters om de berichten te stoppen.

Het BSI stelt dat de malware in aantal dagen tijd voor tal van geïnfecteerde netwerken heeft gezorgd. Daarnaast zijn van duizenden gebruikers en bedrijven de e-mailwachtwoorden gestolen en gebruikt voor het versturen van nieuwe Emotet-spam. "Veel van de schade kan worden voorkomen als it-beveiligingsmaatregelen rigoureus worden geïmplementeerd. Het gaat dan om het trainen van het personeel alsmede het geregeld maken van back-ups en het uitrollen van beveiligingsupdates", aldus BSI-directeur Arne Schönbohm. De overheidsinstantie bestempelde Emotet afgelopen december al tot de gevaarlijkste malware ter wereld.

Reacties (11)
23-09-2019, 19:30 door Erik van Straten
"Veel van de schade kan worden voorkomen als it-beveiligingsmaatregelen rigoureus worden geïmplementeerd. Het gaat dan om het trainen van het personeel alsmede het geregeld maken van back-ups en het uitrollen van beveiligingsupdates", aldus BSI-directeur Arne Schönbohm.
Ervan uitgaande dat je met training niet in alle gevallen voorkomt dat medewerkers in nepmails trappen, zijn die maatregelen onvoldoende. Emotet, en aanvullende malware die door Emotet wordt gedownload, verspreiden zich in de meeste AD domeinen razendsnel (lateral movement) en probeert daarbij accounts met zo hoog mogelijke privileges over te nemen.

Je moet dus zoveel mogelijk voorkomen dat malware, zodra deze een account heeft gecompromiteerd, met dat account via het netwerk kan inloggen op systemen om daar verder schade te veroorzaken. Ook als het account op geen enkele PC adminrechten heeft, moet je ervan uitgaan dat er wel ergens een privilege escalation mogelijk is, waarna het uitlezen van cached passwords en password-hashes mogelijk is (UAC is natuurlijk sowieso geen security boundary). Tools van penetratietesters zoals Bloodhound, Responder en Mimikatz worden ook door deze malware ingezet. Alleen patchen is niet genoeg; je zult actief legacy protocollen en verouderde configuraties -waaronder identieke admin passwords op meerdere systemen- moeten opsporen en zoveel mogelijk elimineren!

Terugzetten van back-ups lijkt mij een laatste redmiddel, want vaak weet je niet wanneer de eerste compromittering plaatsvond, en dus hoever je in de tijd terug moet (hoe ouder de back-up, hoe veiliger, maar hoe meer werk verloren gaat).

Door verspreidingsmogelijkheden zoveel mogelijk te beperken en/of te vertragen, en compromittering bijtijds te detecteren en snel en verstandig in te grijpen (een op de plank liggend plan kan onnodige ellende door ondoordachte acties helpen voorkomen), kun je de totale schade beperken. Nb. Ik vrees dat deze golf, vroeger of later, ook naar Nederland komt; we zijn immers een rijk land...
23-09-2019, 20:00 door Anoniem
Jammer dat dit soort berichten altijd gebracht worden alsof alle computers bevattelijk zouden zijn voor dit soort ellende terwijl er talloze operating systems zijn die hier nauwelijks last van hebben. Een besmetting is bijna altijd te wijten aan een combinatie van applicatie + OS.
23-09-2019, 22:05 door Anoniem
Emotet: alweer 5 jaren oud en still going strong!
Polymorf, dus je kan lang niet altijd op je virusscanner vertrouwen.
Een robuust cybersecurity programma dat multi-layered protectie biedt wordt aangeraden.
Leer van https://www.malwarebytes.com/emotet/ en bescherm jezelf als volgt:

1. PATCH MS Windows (Eternal blue patch)
2. Pas op voor (verdachte) bijlagen en klik niet zomaar op links, en lees
https://blog.malwarebytes.com/101/2018/06/five-easy-ways-to-recognize-and-dispose-of-malicious-emails/
3. Gebruik sterke wachtwoorden (of nog beter: gebruik 2-factor authenticatie) en adviseer je omgeving (met wie je mailt)
om dit ook te doen.
4. Gebruik beschermende software (premium of professioneel) met multi-layered protectie.
5. Leer en begrijp hoe emotet werkt, en waarom het zo "succescvol" is: https://www.malwarebytes.com/emotet/
(want weten hoe emotet werkt, help mee om besmetting te voorkomen)
24-09-2019, 07:18 door karma4
Door Anoniem: Jammer dat dit soort berichten altijd gebracht worden alsof alle computers bevattelijk zouden zijn voor dit soort ellende terwijl er talloze operating systems zijn die hier nauwelijks last van hebben. Een besmetting is bijna altijd te wijten aan een combinatie van applicatie + OS.
Ok, iot is structureel zo lek al een mandje. Webservers zijn niet veilig te krijgen, denk aan WordPress code injection cookies en meer. Databases en backups open onbeschermd op het Internet. Ik volg je redenering, het ligt allemaal aan het achterliggende os.
24-09-2019, 07:25 door karma4
Door Erik van Straten: ...
Door verspreidingsmogelijkheden zoveel mogelijk te beperken en/of te vertragen, en compromittering bijtijds te detecteren en snel en verstandig in te grijpen (een op de plank liggend plan kan onnodige ellende door ondoordachte acties helpen voorkomen), kun je de totale schade beperken.
....
Geef he de noodzaak tot een invulling van onder andere PIM privileged identity management aan? Dat lijkt me zeer nuttig en verstandig.
Helaas gaat men liever naar de best practices zoals aangegeven door externe leveranciers. Goedkoper want men hoeft zelf niets te overdenken. Als het mis gaat ligt het aan een ander dus het is vrij risicoloos voor de persoon om de risico's te laten voortduren.
24-09-2019, 08:05 door Anoniem
Door karma4:
Door Anoniem: Jammer dat dit soort berichten altijd gebracht worden alsof alle computers bevattelijk zouden zijn voor dit soort ellende terwijl er talloze operating systems zijn die hier nauwelijks last van hebben. Een besmetting is bijna altijd te wijten aan een combinatie van applicatie + OS.
Ok, iot is structureel zo lek al een mandje. Webservers zijn niet veilig te krijgen, denk aan WordPress code injection cookies en meer. Databases en backups open onbeschermd op het Internet. Ik volg je redenering, het ligt allemaal aan het achterliggende os.

Selectief citeren is ook een kunst, zo blijkt.
24-09-2019, 11:01 door Tha Cleaner
Door Anoniem: Jammer dat dit soort berichten altijd gebracht worden alsof alle computers bevattelijk zouden zijn voor dit soort ellende terwijl er talloze operating systems zijn die hier nauwelijks last van hebben.
Met kortzinnigheid krijg je inderdaad dit soort antwoorden.

Echter als je er goed naar kijkt zie je dat de meeste issues op te lossen zijn met vrij basic implementaties of configuraties die niet gevolgd zijn. Allemaal design keuzes waarvan of waarvoor afhankelijkheden zijn.
Als je applicaties niet draaien, of je kunt bepaalde inrichten niet doen, dan zijn dit keuzes voor je design en uit eindelijk implementatie.

Dat andere operating systems er geen last van hebben, heeft er mede mee te maken, dat ze nauwelijks gebruikt worden bij een desktop. Meestal omdat ze helemaal niet voldoen, voor want men nodig heeft, en dat is "werken".

Een besmetting is bijna altijd te wijten aan een combinatie van applicatie + OS.
Als je kijkt naar bijvoorbeeld websites…. Dan zie je een heel ander probleem. Bepaalde operating systems hosten dan eigenlijk 99% van alle ellende.
24-09-2019, 11:01 door Tha Cleaner - Bijgewerkt: 24-09-2019, 11:04
Door karma4:
Door Erik van Straten: ...
Door verspreidingsmogelijkheden zoveel mogelijk te beperken en/of te vertragen, en compromittering bijtijds te detecteren en snel en verstandig in te grijpen (een op de plank liggend plan kan onnodige ellende door ondoordachte acties helpen voorkomen), kun je de totale schade beperken.
....
Geef he de noodzaak tot een invulling van onder andere PIM privileged identity management aan? Dat lijkt me zeer nuttig en verstandig.
PIM is inderdaad een gedeelte van de oplossingen.

Helaas gaat men liever naar de best practices zoals aangegeven door externe leveranciers. Goedkoper want men hoeft zelf niets te overdenken. Als het mis gaat ligt het aan een ander dus het is vrij risicoloos voor de persoon om de risico's te laten voortduren.
Externe leveranciers hebben vaak ook veel meer expertise. Dat wil echter niet zeggen, dat ze ook altijd het juiste advies geven. Maar ze hebben vaak wel meer ervaringen dan iemand die intern zit.

Een bij komend probleem is echter wel, dat vaak organisaties niet gereed zijn voor de adviezen van de externe leveranciers.
Dit kan zijn voor bijvoorbeeld legacy, slechte documentatie, of door politieke strubbelingen intern. Je kunt dan een prachtig veilig advies hebben, maar het niet kunnen uitvoeren.
24-09-2019, 17:06 door karma4
Door Tha Cleaner:
Externe leveranciers hebben vaak ook veel meer expertise. Dat wil echter niet zeggen, dat ze ook altijd het juiste advies geven. Maar ze hebben vaak wel meer ervaringen dan iemand die intern zit.
.....
Externe leveranciers zijn niet zo bezig met PIM. Liever snel een setup en als dat werkt met hun standaard instellingen en opzet dan is het voor hun een succes. Ik heb het over over servers. Op de desktop speelt het minder.
24-09-2019, 22:02 door Tha Cleaner
Door karma4:
Door Tha Cleaner:
Externe leveranciers hebben vaak ook veel meer expertise. Dat wil echter niet zeggen, dat ze ook altijd het juiste advies geven. Maar ze hebben vaak wel meer ervaringen dan iemand die intern zit.
.....
Externe leveranciers zijn niet zo bezig met PIM. Liever snel een setup en als dat werkt met hun standaard instellingen en opzet dan is het voor hun een succes. Ik heb het over over servers. Op de desktop speelt het minder.
Dan zit je bij de verkeerde externe leveranciers. In Windows AD is het wel lastiger, omdat AD er niet voor gemaakt is. Maar er bestaat gewoon goede tooling voor. Daarnaast is er een tiering model wat je kunt implementeren.

In Azure AD werkt het een stuk gemakkelijker en beter ingeregeld.

Maar er zijn voldoende externe leveranciers die het implementeren, maar een klant kan het ook als eis neerleggen bij de leverancier of in de RFP.
Mits de klant er ook klaar voor is. Onderschat dit niet. Er zijn maar weinig klanten echt geschikt voor een goede PIM implementatie.
27-09-2019, 13:09 door Anoniem
L.S.

Besef goed, dat de aanvaller aan een klein gaatje of de juiste aanwezige kwetsbaarheid a genoeg heeft
om met emotet infecties ergens door te kunnen wurmen.

De verdediger moet echter van meerdere markten thuis zijn.

Kleine puntjes in de afwegingenen. In het geval van website security.
Bijv. SSL kwetsbaarheden: scan op: https://www.immuniweb.com/ssl/

Zelf linten op niveau van toegepaste best policies, zoals o.a.: disown-opener: https-only, no-disallowed-headers, no-protocol-relative-urls, sri, strict-transport-security, validate-set-cookie-header, x-content-type-options, no-vulnerable-javascript-libraries, ssllabs.

Vooral goed weten waar de cybercrimineel zijn voordeel zou kunnen halen,
met bijvoorbeeld gedateerde webserver software, nginx webserver outdated,
bijvoorbeeld: http://nginx.org/en/security_advisories.html

XSS-DOM sources and sinks scannen vooral bij kwetsbare 3rd party code.

Links met slechte verbindingsbeveiliging: hxtp://code.jivosite.com/widget.js als voorbeeldje.
6 engines die het detecteren en een alert geven. De boel gaat in dat geval over http!

De DOM-XSS scan valt mee: Resultaten van het scannen van URL: -http://code.jivosite.com/widget.js
aantal sources aangetroffen: 38 ; aantal sinks aangetroffen: 4 (mogelijke narigheid bij code
met sinks als "source=e" & "src="javascript:var d=document.open()".

Als je je er al jaren mee bezig houdt, kan je het gevaar a.h.w. ruiken. You can hear the code-grass grow!
Je weet dan waar de risico's eventueel zouden kunnen optreden.

Je wat aan laten praten door veiligheidsadviseurs "a la de stofzuigerverkoper",
zoals karma4 ons altijd al wil afraden, is in alle gevallen lichtzinnig en dom.

Check alles zelf wat je nodig denkt te hebben, vraag het je security manager, niet de CEO,
die de beslissingen in ultimo neemt, maar nergens verstand van hoeft te hebben, qua security dan (duh...)

De beste verdediging is dus zelfverdediging, leer de nodige skills of krijg advies van iemand met de juiste skills.

De slechtst mogelijke houding is zelfoverschatting, dat doen we wel eventjes en hopla, goed gefopt dus,
met alle nare gevolgen van dien. Maar iedereen kan de fout ingaan, bescheidenheid en
besef niet alles te weten zijn de beste stappen naar toegenomen cyberwijsheid.
Ik leer zelf ook nog iedere dag en elk uur.

Dag lieve mensen hier. Gaat het nog eens keer een beetje in goede zin veranderen. Ik blijf er op hopen, hoor.

Jodocus Oyevaer
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.