Politie neemt servers Emotet-botnet over en deactiveert malware op 1 miljoen pc's
Tijdens een internationale politieoperatie zijn de hoofdservers van het beruchte Emotet-botnet overgenomen en vervolgens gebruikt om de malware bij één miljoen computers in quarantaine te plaatsen. Twee van de hoofdservers stonden in Nederland. De politie kon deze servers dankzij de hackbevoegdheid binnendringen, zo laat het Openbaar Ministerie vandaag weten.
Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage .docx-bestanden met kwaadaardige macro's bevatten. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Wereldwijd zouden één miljoen computers met Emotet besmet zijn.
Volgens het Openbaar Ministerie maakte de criminele organisatie achter Emotet gebruik van honderden servers om de malware te verspreiden. Sommige servers werden gebruikt om besmette machines te besturen en gegevens door te verkopen, andere om nieuwe slachtoffers te maken, en weer andere servers werden gebruikt om politie en beveiligingsbedrijven op afstand te houden.
Tijdens een onderzoek naar de malware werd de gehele infrastructuur in kaart gebracht. Daaruit bleek dat twee van de drie hoofdservers in Nederland stonden. Deze week lukte het de autoriteiten om de controle over het Emotet-netwerk over te nemen en de malware te deactiveren. Op de Nederlandse hoofdservers is een software-update geplaatst voor alle besmette computersystemen. Die halen de update daar automatisch op, waarna de Emotet-malware in quarantaine wordt geplaatst.
Emotet-checker
Tevens heeft de politie de Emotet-checker gelanceerd waarmee eindgebruikers en systeembeheerders van bedrijven en organisaties kunnen nagaan of Emotet op hun systemen wachtwoorden en gebruikersnamen heeft gestolen. Tijdens het onderzoek trof de politie 600.000 e-mailadressen met wachtwoorden aan die de malware had buitgemaakt.
Tijdens operatie "LadyBird" werkten de Landelijke Eenheid en het Landelijk Parket in Nederland samen met politie en justitie in Duitsland, het Verenigd Koninkrijk, Frankrijk, Oekraïne, de Verenigde Staten, Canada en Litouwen.
https://www.zdnet.com/article/emotet-todays-most-dangerous-botnet-comes-back-to-life/
En wat ik vaag vind in dit artikel, is het ontbreken van een exacte duiding. Hoe analyseer je of Emotet aanwezig is op je laptop, PC, (bedrijfs)netwerk. En hoe verwijder je een eventuele Emotet besmetting?
https://www.maketecheasier.com/check-pc-for-emotet-malware/
Een "Emocheck_v1.0_x64.exe" bestand. Helaas alleen voor Microsoft Windows.
https://www.zdnet.com/article/emotet-todays-most-dangerous-botnet-comes-back-to-life/
En wat ik vaag vind in dit artikel, is het ontbreken van een exacte duiding. Hoe analyseer je of Emotet aanwezig is op je laptop, PC, (bedrijfs)netwerk. En hoe verwijder je een eventuele Emotet besmetting?
https://www.maketecheasier.com/check-pc-for-emotet-malware/
Een "Emocheck_v1.0_x64.exe" bestand. Helaas alleen voor Microsoft Windows.
Kijken naar uitgaande verbindingen naar Emotet C2's
Rapporteer besmette domeinen dan ook daar.
Je kunt de servers neerhalen, maar niet vermeld wordt of de cybercriminelen ook zijn vastgenomen en vastgezet.
Anders begint het circus elders weer opnieuw en wellicht op een rack bij een louche bulletproof hostertje bij u in de buurt.
De cybercriminelen zullen zelden hun eigen nest (achtertuin) vervuilen, maar voor een percentage van de winst mogen ze elders vaak ongestoord hun gang blijven gaan en knijpt de "bovenbaas" een oogje toe (binnen de voor hen geldende code althans).
Daarom is er zo lastig af te geraken van deze macreaties, net als bij ransomware cyber-minkukels.
Deze lieden conformeren zich heel snel als ze ontdekt worden en migreren dan hun acties naar elders.
Het is als onkruid dat eens ergens gewied ergens anders weer opschiet. Schoffelen helpt wel, maar is niet afdoende.
#sockpuppet
Rapporteer besmette domeinen dan ook daar.
Je kunt de servers neerhalen, maar niet vermeld wordt of de cybercriminelen ook zijn vastgenomen en vastgezet.
Anders begint het circus elders weer opnieuw en wellicht op een rack bij een louche bulletproof hostertje bij u in de buurt.
De cybercriminelen zullen zelden hun eigen nest (achtertuin) vervuilen, maar voor een percentage van de winst mogen ze elders vaak ongestoord hun gang blijven gaan en knijpt de "bovenbaas" een oogje toe (binnen de voor hen geldende code althans).
Daarom is er zo lastig af te geraken van deze macreaties, net als bij ransomware cyber-minkukels.
Deze lieden conformeren zich heel snel als ze ontdekt worden en migreren dan hun acties naar elders.
Het is als onkruid dat eens ergens gewied ergens anders weer opschiet. Schoffelen helpt wel, maar is niet afdoende.
#sockpuppet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Netwerkbeheerder Netwerk Services
Ministerie van Binnenlandse Zaken
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?