Frankrijk, Japan en Nieuw-Zeeland waarschuwen voor aanvallen met Emotet-malware
De Franse, Japanse en Nieuw-Zeelandse overheid hebben een waarschuwing afgegeven voor nieuwe aanvallen door de Emotet-malware en roepen organisaties onder andere op om personeel te onderwijzen dat ze geen macro's in Microsoft Office-documenten inschakelen. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is.
Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .doc-bestanden met kwaadaardige macro's bevatten. De malware lift daarbij mee op eerdere e-mailconversaties tussen al besmette slachtoffers en potentiële doelwitten. Die krijgen vervolgens een e-mail toegestuurd met een kwaadaardig bestand of een link hiernaar. Nieuwe versies van Emotet stelen ook adresboeken, e-mailbijlagen en de inhoud van berichten om die voor nieuwe aanvallen te gebruiken.
Zodra de ontvanger van een dergelijke e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Hierbij maakt Emotet gebruik van SMB-kwetsbaarheden en gestolen wachtwoorden, zo stelt het Franse Computer Emergency Response Team (CERT-FR).
De overheidsinstantie meldt dat Franse bedrijven en overheidsinstellingen al meerdere dagen doelwit zijn van aanvallen met Emotet. In het geval van een succesvolle aanval zal Emotet aanvullende malware installeren die grote gevolgen voor slachtoffers kan hebben, zo laat de waarschuwing van CERT-FR weten. Zo is Emotet gebruikt voor de installatie van de TrickBot-malware, die weer ransomware op systemen installeert.
CERT-FR geeft organisaties verschillende adviezen om infecties door Emotet te voorkomen. Zo moeten gebruikers bewust worden gemaakt om geen macro's in ontvangen Office-documenten in te schakelen. Verder moeten besmette machines uit het netwerk worden gehaald zonder daarbij gegevens te verwijderen. In het algemeen is het volgens de Franse overheidsinstantie niet voldoende om malware met een virusscanner te verwijderen. "Alleen de herinstallatie van de machine verzekert dat de malware is verwijderd", aldus het advies. Tevens worden organisaties die malafide bijlagen ontvangen gevraagd om die naar het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) te sturen.
Naast de Franse overheid waarschuwt ook het Nieuw-Zeelandse CERT (CERT NZ) dat er een toename is van Emotet-activiteit. CERT NZ adviseert om macro's binnen Microsoft Office in zijn geheel uit te schakelen en alleen macro's toe te staan die digitaal zijn gesigneerd of van een vertrouwde locatie afkomstig zijn. Ook moet PowerShell zo worden ingesteld dat het alleen gesigneerde scripts mag uitvoeren. In het geval van een besmet systeem raadt ook het CERT NZ aan om de machine te re-imagen.
Het derde land dat een toename van aanvallen met Emotet meldt is Japan. Het Japanse CERT (JPCERT) zag begin deze maand een sterke stijging van besmette .jp-e-mailadressen die werden gebruikt om Emotet te verspreiden. Daarbij maken de aanvallers niet alleen gebruik van .doc-bestanden, maar ook van met wachtwoord beveiligde zip-bestanden die een kwaadaardig document bevatten. Net als de andere CERTs raadt ook JPCERT aan om macro's niet zomaar in te schakelen.
Daar rapporteert men o.a. emotet malcode.
Bezoek: https://urlhaus.abuse.ch/browse/ en scan op emotet.
Inderdaad MS macro is the bitch en cmd.exe.
Daarom draai ik Voodooshield en maak gebruik van open source LibreOffice.
En zit ik niet als admin op mijn OS, maar als gewoon gebruiker.
Ja linux is veiliger, mits onder goed geinstrueerd eigen beheer.
Het ligt niet zo onder vuur als de Microsoft Windows smaken.
Maar dat is weer een geheel andere discussie.
#sockpuppet
Iemand aanvullende tips/informatie over het detecteren, monitoren en verwijderen van Emotet?
Schone installatie i.c.m. rogue IOT gaat natuurlijk niet werken.
#
Zaak is alle systemen op een netwerk te isoleren en afhankelijk van wat voor emotet je hebt is een full format genoeg of wordt geadviseerd het systeem fysiek te vervangen. Sophos en Eset 32 zijn redelijk goed in detectie momenteel maar dat is een moment opname. Hou vooral rekening ermee dat emotet tegenwoordig niet de grootste zorg is maar de payload die emotet dropt. Denk aan trickbot of qbot bijvoorbeeld.
Wat emotet zo gevaarlijk maakt is dat het super goed ondersteund wordt en meer aangeboden wordt
als een betaalde dienst voor andere criminelen. Taktieken veranderen constant maar gelukkig tot nu toe als je macro gebruik compleet uitschakeld voor alle aangesloten gebruikers kan het niets aanrichten.
https://blog.malwarebytes.com/detections/trojan-emotet/
Voorkomen is altijd beter als genezen, maar het buzzword hier is Eternal Blue,
MS malcode, die de emotet-malcreant in eerste instantie misbruikt.
Er wordt een verwijdering voor bedrijfs- en thuisgebruik gegeven.
Kun je of durf je het zelf niet aan, vraag dan assistentie van een gekwalificeerd online remover.
Dit zijn algemeen erkende malware verwijderaars die ook door Microsoft worden erkend.
Ze hebben een online opleiding gehad en kunnen pas actief worden als ze zich bewezen hebben.
Geeks to Go heeft er een opleiding voor online en een speciale "Hogwart Academie".
#sockpuppet
als een betaalde dienst voor andere criminelen. Taktieken veranderen constant maar gelukkig tot nu toe als je macro gebruik compleet uitschakeld voor alle aangesloten gebruikers kan het niets aanrichten.
Nog steeds na al die jaren is er geen goede, afdoende bescherming vanuit MS Office, die hoofdzakelijk als ezel wordt gebruikt.
Gatenkaas.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.