image

Politie neemt servers Emotet-botnet over en deactiveert malware op 1 miljoen pc's

woensdag 27 januari 2021, 13:28 door Redactie, 8 reacties

Tijdens een internationale politieoperatie zijn de hoofdservers van het beruchte Emotet-botnet overgenomen en vervolgens gebruikt om de malware bij één miljoen computers in quarantaine te plaatsen. Twee van de hoofdservers stonden in Nederland. De politie kon deze servers dankzij de hackbevoegdheid binnendringen, zo laat het Openbaar Ministerie vandaag weten.

Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .docx-bestanden met kwaadaardige macro's bevatten. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Wereldwijd zouden één miljoen computers met Emotet besmet zijn.

Volgens het Openbaar Ministerie maakte de criminele organisatie achter Emotet gebruik van honderden servers om de malware te verspreiden. Sommige servers werden gebruikt om besmette machines te besturen en gegevens door te verkopen, andere om nieuwe slachtoffers te maken, en weer andere servers werden gebruikt om politie en beveiligingsbedrijven op afstand te houden.

Tijdens een onderzoek naar de malware werd de gehele infrastructuur in kaart gebracht. Daaruit bleek dat twee van de drie hoofdservers in Nederland stonden. Deze week lukte het de autoriteiten om de controle over het Emotet-netwerk over te nemen en de malware te deactiveren. Op de Nederlandse hoofdservers is een software-update geplaatst voor alle besmette computersystemen. Die halen de update daar automatisch op, waarna de Emotet-malware in quarantaine wordt geplaatst.

Emotet-checker

Tevens heeft de politie de Emotet-checker gelanceerd waarmee eindgebruikers en systeembeheerders van bedrijven en organisaties kunnen nagaan of Emotet op hun systemen wachtwoorden en gebruikersnamen heeft gestolen. Tijdens het onderzoek trof de politie 600.000 e-mailadressen met wachtwoorden aan die de malware had buitgemaakt.

Tijdens operatie "LadyBird" werkten de Landelijke Eenheid en het Landelijk Parket in Nederland samen met politie en justitie in Duitsland, het Verenigd Koninkrijk, Frankrijk, Oekraïne, de Verenigde Staten, Canada en Litouwen.

Reacties (8)
27-01-2021, 15:12 door Anoniem
Is dit een teken dat het evengoed Nederlandse hackers kunnen geweest zijn? :)
27-01-2021, 15:45 door Anoniem
Maar in mei 2019 waren de C&C command and control servers van Emotet ook als uit de lucht gehaald?
https://www.zdnet.com/article/emotet-todays-most-dangerous-botnet-comes-back-to-life/

En wat ik vaag vind in dit artikel, is het ontbreken van een exacte duiding. Hoe analyseer je of Emotet aanwezig is op je laptop, PC, (bedrijfs)netwerk. En hoe verwijder je een eventuele Emotet besmetting?
https://www.maketecheasier.com/check-pc-for-emotet-malware/
Een "Emocheck_v1.0_x64.exe" bestand. Helaas alleen voor Microsoft Windows.
27-01-2021, 16:06 door Anoniem
Door Anoniem: Maar in mei 2019 waren de C&C command and control servers van Emotet ook als uit de lucht gehaald?
https://www.zdnet.com/article/emotet-todays-most-dangerous-botnet-comes-back-to-life/

En wat ik vaag vind in dit artikel, is het ontbreken van een exacte duiding. Hoe analyseer je of Emotet aanwezig is op je laptop, PC, (bedrijfs)netwerk. En hoe verwijder je een eventuele Emotet besmetting?
https://www.maketecheasier.com/check-pc-for-emotet-malware/
Een "Emocheck_v1.0_x64.exe" bestand. Helaas alleen voor Microsoft Windows.

Kijken naar uitgaande verbindingen naar Emotet C2's
27-01-2021, 17:53 door Anoniem
Mooi overzicht van de Emotet cyber-malware structuur vindt u hier: http://urlhaus.abuse.ch.
Rapporteer besmette domeinen dan ook daar.

Je kunt de servers neerhalen, maar niet vermeld wordt of de cybercriminelen ook zijn vastgenomen en vastgezet.

Anders begint het circus elders weer opnieuw en wellicht op een rack bij een louche bulletproof hostertje bij u in de buurt.

De cybercriminelen zullen zelden hun eigen nest (achtertuin) vervuilen, maar voor een percentage van de winst mogen ze elders vaak ongestoord hun gang blijven gaan en knijpt de "bovenbaas" een oogje toe (binnen de voor hen geldende code althans).

Daarom is er zo lastig af te geraken van deze macreaties, net als bij ransomware cyber-minkukels.

Deze lieden conformeren zich heel snel als ze ontdekt worden en migreren dan hun acties naar elders.

Het is als onkruid dat eens ergens gewied ergens anders weer opschiet. Schoffelen helpt wel, maar is niet afdoende.

#sockpuppet
27-01-2021, 22:47 door Anoniem
Een docx met macro enabled is toch een docm?
27-01-2021, 23:58 door Anoniem
Door Anoniem: Mooi overzicht van de Emotet cyber-malware structuur vindt u hier: http://urlhaus.abuse.ch.
Rapporteer besmette domeinen dan ook daar.

Je kunt de servers neerhalen, maar niet vermeld wordt of de cybercriminelen ook zijn vastgenomen en vastgezet.

Anders begint het circus elders weer opnieuw en wellicht op een rack bij een louche bulletproof hostertje bij u in de buurt.

De cybercriminelen zullen zelden hun eigen nest (achtertuin) vervuilen, maar voor een percentage van de winst mogen ze elders vaak ongestoord hun gang blijven gaan en knijpt de "bovenbaas" een oogje toe (binnen de voor hen geldende code althans).

Daarom is er zo lastig af te geraken van deze macreaties, net als bij ransomware cyber-minkukels.

Deze lieden conformeren zich heel snel als ze ontdekt worden en migreren dan hun acties naar elders.

Het is als onkruid dat eens ergens gewied ergens anders weer opschiet. Schoffelen helpt wel, maar is niet afdoende.

#sockpuppet
De grond afgraven en vervangen helpt wel degelijk.
28-01-2021, 00:02 door Anoniem
Waar haalt de politie het recht vandaan om servers over te nemen?
28-01-2021, 09:12 door Anoniem
Door Anoniem: Waar haalt de politie het recht vandaan om servers over te nemen?

Zie Wet Computercriminaliteit III
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.