Politie neemt servers Emotet-botnet over en deactiveert malware op 1 miljoen pc's
Tijdens een internationale politieoperatie zijn de hoofdservers van het beruchte Emotet-botnet overgenomen en vervolgens gebruikt om de malware bij één miljoen computers in quarantaine te plaatsen. Twee van de hoofdservers stonden in Nederland. De politie kon deze servers dankzij de hackbevoegdheid binnendringen, zo laat het Openbaar Ministerie vandaag weten.
Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .docx-bestanden met kwaadaardige macro's bevatten. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Wereldwijd zouden één miljoen computers met Emotet besmet zijn.
Volgens het Openbaar Ministerie maakte de criminele organisatie achter Emotet gebruik van honderden servers om de malware te verspreiden. Sommige servers werden gebruikt om besmette machines te besturen en gegevens door te verkopen, andere om nieuwe slachtoffers te maken, en weer andere servers werden gebruikt om politie en beveiligingsbedrijven op afstand te houden.
Tijdens een onderzoek naar de malware werd de gehele infrastructuur in kaart gebracht. Daaruit bleek dat twee van de drie hoofdservers in Nederland stonden. Deze week lukte het de autoriteiten om de controle over het Emotet-netwerk over te nemen en de malware te deactiveren. Op de Nederlandse hoofdservers is een software-update geplaatst voor alle besmette computersystemen. Die halen de update daar automatisch op, waarna de Emotet-malware in quarantaine wordt geplaatst.
Emotet-checker
Tevens heeft de politie de Emotet-checker gelanceerd waarmee eindgebruikers en systeembeheerders van bedrijven en organisaties kunnen nagaan of Emotet op hun systemen wachtwoorden en gebruikersnamen heeft gestolen. Tijdens het onderzoek trof de politie 600.000 e-mailadressen met wachtwoorden aan die de malware had buitgemaakt.
Tijdens operatie "LadyBird" werkten de Landelijke Eenheid en het Landelijk Parket in Nederland samen met politie en justitie in Duitsland, het Verenigd Koninkrijk, Frankrijk, Oekraïne, de Verenigde Staten, Canada en Litouwen.
https://www.zdnet.com/article/emotet-todays-most-dangerous-botnet-comes-back-to-life/
En wat ik vaag vind in dit artikel, is het ontbreken van een exacte duiding. Hoe analyseer je of Emotet aanwezig is op je laptop, PC, (bedrijfs)netwerk. En hoe verwijder je een eventuele Emotet besmetting?
https://www.maketecheasier.com/check-pc-for-emotet-malware/
Een "Emocheck_v1.0_x64.exe" bestand. Helaas alleen voor Microsoft Windows.
https://www.zdnet.com/article/emotet-todays-most-dangerous-botnet-comes-back-to-life/
En wat ik vaag vind in dit artikel, is het ontbreken van een exacte duiding. Hoe analyseer je of Emotet aanwezig is op je laptop, PC, (bedrijfs)netwerk. En hoe verwijder je een eventuele Emotet besmetting?
https://www.maketecheasier.com/check-pc-for-emotet-malware/
Een "Emocheck_v1.0_x64.exe" bestand. Helaas alleen voor Microsoft Windows.
Kijken naar uitgaande verbindingen naar Emotet C2's
Rapporteer besmette domeinen dan ook daar.
Je kunt de servers neerhalen, maar niet vermeld wordt of de cybercriminelen ook zijn vastgenomen en vastgezet.
Anders begint het circus elders weer opnieuw en wellicht op een rack bij een louche bulletproof hostertje bij u in de buurt.
De cybercriminelen zullen zelden hun eigen nest (achtertuin) vervuilen, maar voor een percentage van de winst mogen ze elders vaak ongestoord hun gang blijven gaan en knijpt de "bovenbaas" een oogje toe (binnen de voor hen geldende code althans).
Daarom is er zo lastig af te geraken van deze macreaties, net als bij ransomware cyber-minkukels.
Deze lieden conformeren zich heel snel als ze ontdekt worden en migreren dan hun acties naar elders.
Het is als onkruid dat eens ergens gewied ergens anders weer opschiet. Schoffelen helpt wel, maar is niet afdoende.
#sockpuppet
Rapporteer besmette domeinen dan ook daar.
Je kunt de servers neerhalen, maar niet vermeld wordt of de cybercriminelen ook zijn vastgenomen en vastgezet.
Anders begint het circus elders weer opnieuw en wellicht op een rack bij een louche bulletproof hostertje bij u in de buurt.
De cybercriminelen zullen zelden hun eigen nest (achtertuin) vervuilen, maar voor een percentage van de winst mogen ze elders vaak ongestoord hun gang blijven gaan en knijpt de "bovenbaas" een oogje toe (binnen de voor hen geldende code althans).
Daarom is er zo lastig af te geraken van deze macreaties, net als bij ransomware cyber-minkukels.
Deze lieden conformeren zich heel snel als ze ontdekt worden en migreren dan hun acties naar elders.
Het is als onkruid dat eens ergens gewied ergens anders weer opschiet. Schoffelen helpt wel, maar is niet afdoende.
#sockpuppet
Zie Wet Computercriminaliteit III
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
