Emotet er en meget sofistikeret og destruktiv malware, der skaber store problemer for organisationer over hele verden.
Emotet-malware dukkede først op i 2014 som en banktrojaner, der er designet til at stjæle bankoplysninger og andre følsomme data. Inden for de sidste 5 år har malware imidlertid hurtigt udviklet sig til en af verdens farligste cybertrusler.
Ifølge en advarsel fra US Homeland Security, der blev offentliggjort i 2018, "Emotet er fortsat blandt de mest omkostningstunge og destruktive malwareprogrammer, der påvirker statslige, lokale, stammesamfund og territoriale (SLTT) regeringer samt den private og offentlige sektor. Det er vanskeligt at bekæmpe, og Emotet-infektioner har kostet SLTT-regeringer op til 1 million USD pr. hændelse at afhjælpe."
Hvorfor er Emotet Malware så farlig?
Emotet-malware bruger sine ormelignende egenskaber til hurtigt at sprede sig til andre tilsluttede computere på et netværk. Det betyder, at infektionen kan sprede sig som en steppebrand i en organisation uden brugerinteraktion.
Den har også fået nye funktioner, der gør den endnu mere truende. Emotet kan tilføje en inficeret maskine til et botnet for at udføre DDoS-angreb, eller den kan blandes med andre former for ransomware for at opnå maksimal ødelæggelse.
Malwaren er ekstremt alsidig og bliver brugt af mange cybergrupper på grund af dens polymorfe adfærd. Den kan effektivt ændre sig selv, hver gang den downloades, for at undgå signaturbaseret antivirusdetektion.
Der har været en massiv stigning i Emotet-angreb i hele verden, og i februar 2018 blev byen Allentown i Pennsylvania tvunget i knæ, da den blev angrebet med den selvreplikerende malware.
Nogle af byens finansielle og offentlige systemer måtte lukkes ned, og angrebet skulle efter sigende have kostet byen omkring 1 million dollars i skader.
Hvordan inficerer Emotet Malware maskiner og spredes?
Størstedelen af Emotet-infektioner starter med en simpel Phishing-e-mail. E-mailen kan se ud til at komme fra en legitim kilde med en kendt virksomheds officielle branding og logoer. Som med alle phishing-e-mails er det endelige mål at presse modtageren til at klikke på et ondsindet link eller downloade en vedhæftet fil.
Så snart modtageren klikker på linket eller åbner en fil, aktiverer han/hun uden at vide det makroer, der starter infektionsprocessen. Så snart enheden er inficeret, vil Emotet begynde at forsøge at sprede sig til andre enheder på netværket.
Emotet-malware scanner gennem kontaktlister og begynder at bombardere alle på listen med ondsindede e-mails. Da e-mailen ser ud til at komme fra en pålidelig kilde, vil brugerne være mere tilbøjelige til at klikke på de ledsagende links eller åbne en vedhæftet fil.
Hvis der er et tilsluttet netværk, vil Emotet forsøge at sprede sig ved hjælp af brute force-angreb. Den vil prøve forskellige kombinationer af brugernavne og adgangskoder for at se, om den kan få adgang til netværket på denne måde.
En anden måde, hvorpå Emotet spreder sig, er ved at udnytte Eternal Blue/Double Pulsar-sårbarheder. Det er de samme sårbarheder, som blev udnyttet i de berygtede WannaCry- og NotPetya-angreb, der forårsagede store globale forstyrrelser.
Hvad kan du gøre for at forhindre Emotet-infektion?
- Hold din software opdateret med de seneste sikkerhedsrettelser fra Microsoft - Emotet-malware udnytter ofte Windows Eternal Blue-sårbarheden. Regelmæssig patching vil rette sikkerhedshuller, fjerne forældede funktioner og opdatere drivere.
- Følg god sikkerhedspraksis for at minimere risikoen for infektion - Undgå at klikke på links eller downloade vedhæftede filer fra ukendte kilder. Røde flag kan omfatte: en generisk hilsen, dårlig grammatik, truende sprogbrug, en forkert URL-adresse, stavefejl, krav om præmier eller en anmodning om følsomme oplysninger som f.eks. brugernavn eller adgangskode.
- Uddannelse i cybersikkerhed - Emotet-infektioner er i høj grad afhængige af, at en bruger åbner en phishing-e-mail. For at sikre, at medarbejderne effektivt kan genkende disse trusler, er det vigtigt, at de modtager regelmæssig uddannelse i cybersikkerhedsbevidsthed. Uddannelsen vil hjælpe medarbejderne med at forsvare din organisation og reducere sandsynligheden for, at netværk bliver inficeret med Emotet.
- Brug antivirus-software - Emotet-malware har haft stor succes med at undgå at blive opdaget af mange former for antivirus-software. Det er dog stadig vigtigt at investere i en pålidelig antivirusløsning, der bruger teknologi til blokering af adfærd ud over signaturbaseret beskyttelse.
- Opret en stærk og kompleks adgangskode - En stærk adgangskode skal være mellem 8-15 tegn lang, bestå af store og små bogstaver og indeholde tal eller symboler. En adgangsfrase kan også bruges til at huske længere og mere komplekse adgangskoder. For at gøre passphrasen sikker: Brug en sætning, der er nem at huske, men som er tilfældig, tilføj mellemrum, erstat bogstaver med tal og tilføj ekstra tegn for at gøre den endnu mere sikker.
- Brug to-faktor-autentificering (2FA) - To-faktor-autentificering tilføjer et ekstra sikkerhedslag til autentificeringsprocessen ved at gøre det sværere for en hacker at få adgang til en persons enhed. Ud over en adgangskode kræver to-faktor-autentificering en anden oplysning for at bekræfte brugerens identitet.
- Eksternt e-mail-banner - Brug et e-mail-banner til at informere medarbejderne om, at en e-mail kommer fra en ekstern kilde.
- Blokér tvivlsomme filer og vedhæftede filer - Overvej at blokere vedhæftede filer, der ofte forbindes med malware, f.eks. .dll- og .exe-filer, og vedhæftede filer, der ikke kan scannes af antivirusprogrammer, f.eks. .zip-filer.
Sådan fjerner du Emotet Malware fra en inficeret enhed
Som vi har set ovenfor, kan Emotet-malware hurtigt sprede sig til andre computere, der er forbundet til netværket, medmindre den inddæmmes og udryddes så hurtigt som muligt. Hvis du mener, at din enhed eller dit netværk er blevet kompromitteret af Emotet, bør du straks tage følgende skridt:
- Kør en antivirus-scanning af systemet, og tag skridt til at isolere eventuelle inficerede computere på baggrund af resultaterne.
- Identificer, luk og fjern alle inficerede computere fra netværket.
- Overvej at tage netværket midlertidigt offline for at stoppe spredningen af malware.
- Identificer infektionskilden.
- Rens hver computer en efter en for at undgå at blive inficeret igen.
- Ændre og opdatere adgangskoder til domæne- og lokale legitimationsoplysninger.
Phishing er den hyppigste årsag til alle cyberangreb og er fortsat en af de nemmeste måder at stjæle værdifulde data og levere ransomware på. MetaPhish er blevet udviklet for at give et effektivt forsvar mod disse trusler og gør det muligt for organisationer at finde ud af, hvor modtagelig deres virksomhed er for phishing. Kontakt os for at få yderligere oplysninger om, hvordan MetaPhish kan bruges til at beskytte din virksomhed.