Emotet er navnet på en svært skadelig skadevare som har en tendens til å forsvinne og dukke opp igjen med ujevne mellomrom. Nå er den uvelkomne inntrengeren på ferde igjen, rapporterer blant andre Bleeping Computer.
Sikkerhetsselskapet Cofense rapporterer at Emotet gjenopptok aktiviteten sin den 7. mars etter å ha tatt en «pause» på flere måneder.
Sprer seg via Zip-filer
Selskapet har registrert at Emotet nå fortsetter å spre seg via e-poster med .zip-filer som vedlegg. E-postene sendes tilsynelatende som svar på e-postkjeder som allerede eksisterer, og vedleggene er ikke passordbeskyttet, skriver Cofense.
Temaene til vedleggene i e-postene er i de fleste tilfellene relatert til fakturaer eller andre finansielle data.
Zip-filene som sendes som vedlegge denne gangen inneholder ifølge sikkerhetsselskapet et Office-dokument med makroer. Når disse åpnes bes brukeren om å «aktivere innholdet», som da kjører den ondsinnede makroen.
Sist Digi.no rapporterte om Emotet var for ganske nøyaktig ett år siden, i midten av mars 2022. Da var skadevaren tilbake etter et lengre avbrudd som trolig skyldtes den massive politiaksjonen mot Emotet-botnettet i januar 2021.
To av verdens farligste skadevareprogrammer har «slått seg sammen»
– Emotet har vært en av de mest profesjonelle og levedyktige cyberkriminalitetstjenestene der ute. Etter å ha blitt oppdaget som en banktrojaner i 2014 utviklet skadevaren seg til å bli den foretrukne løsningen for cyberkriminelle med årene. Emotet-infrastrukturen fungerte essensielt sett som en døråpner for datasystemer på global skala, het det i Europols pressemelding den gang.
Åpner opp systemer for annen skadevare
En av de farligste egenskapene ved Emotet er at den brukes til å «leie» ut tilgang til infiserte systemer til andre skadevare-aktører, og på den måten la til rette for effektiv spredning av øvrig, farlig skadevare – deriblant de svært ødeleggende løsepengevirusene.
_logo.svg.png){kind=logo}
Utpressingsviruset Ryuk skal være blant dem som har basert seg på systemtilganger muliggjort av Emotet. Som digi.no meldte tidligere har Ryuk-bakmennene anslagsvis tjent rundt 1,2 milliarder kroner på viruset. Trickbot, som Digi.no også tidligere har omtalt, er en annen skadevare som skal ha benyttet seg av Emotet-botnettet for å spre seg.
Skadevaren sprer seg, som også i dette nye tilfellet, primært via e-post – hovedsakelig Word-filer som enten legges inn som vedlegg eller som lastes ned via lenker i e-postene.
Emotet er også i stand til å spionere seg til tilgangsdataene for e-postkontoer konfigurert på systemene, og innholdet i postkassene. Tilgangsdataene blir deretter misbrukt for å sende spam-post via kompromitterte kontoer for videre distribusjon.
Over et år etter aksjonen meldte sikkerhetsselskapet Blak Lotus Labs at Emotet var tilbake for fullt, med rundt 130.000 unike, nye boter fordelt på 179 land siden november 2021. Akkurat hvor stort nettverket er i dag, er uvisst, men det er ingen tvil som at skadevaren fortsetter å utgjøre en betydelig trussel.
En av verdens farligste skadevarer har gjenoppstått – og øker kraftig
