Emotet Malware - en guide till banktrojaner

Emotet är en mycket sofistikerad och destruktiv skadlig kod som orsakar stora problem för organisationer runt om i världen.

Emotet Malware dök upp för första gången 2014 som en bank-trojanare som är utformad för att stjäla bankuppgifter och andra känsliga uppgifter. Under de senaste fem åren har det skadliga programmet dock snabbt utvecklats till ett av världens farligaste cyberhot.

Enligt en varning från US Homeland Security som publicerades 2018 är Emotet fortfarande en av de mest kostsamma och destruktiva skadlig kodprogrammen som påverkar statliga, lokala, stam- och territoriella (SLTT) myndigheter samt den privata och offentliga sektorn. Det är svårt att bekämpa och Emotet-infektioner har kostat SLTT-regeringar upp till 1 miljon dollar per incident att åtgärda."

Varför är Emotet Malware så farligt?

Emotet malware använder sina maskliknande egenskaper för att snabbt sprida sig till andra anslutna datorer i ett nätverk. Detta innebär att infektionen kan spridas som en löpeld över en organisation utan någon som helst användarinteraktion.

Den har också fått nya funktioner som gör den ännu mer hotfull. Emotet kan lägga till en infekterad maskin i ett botnät för att utföra DDoS-attacker eller blandas med andra former av utpressningstrojaner för maximal förstörelse.

Det skadliga programmet är extremt mångsidigt och används av många cybergrupper på grund av dess polymorfa beteende. Det kan effektivt ändra sig varje gång det laddas ner för att undvika signaturbaserad antivirusdetektering.

Emotet-attackerna har ökat kraftigt över hela världen, och i februari 2018 tvingades staden Allentown i Pennsylvania på knä när den attackerades med det självreplikerande skadlig kodprogrammet.

Vissa av stadens finansiella och offentliga system måste stängas av och attacken beräknas ha kostat staden cirka 1 miljon dollar i skador.

Hur infekterar Emotet Malware maskiner och sprids?

De flesta Emotet-infektioner börjar med ett enkelt Phishing-e-postmeddelande. E-postmeddelandet kan se ut att komma från en legitim källa med ett välkänt företags officiella varumärke och logotyper. Som med alla phishingmejl är det slutliga målet att pressa mottagaren att klicka på en skadlig länk eller ladda ner en bilaga.

Så snart mottagaren klickar på länken eller öppnar en fil aktiverar han/hon omedvetet makron som inleder infektionsprocessen. Så snart enheten är infekterad börjar Emotet försöka sprida sig till andra enheter i nätverket.

Emotet malware kommer att söka igenom kontaktlistor och börja bombardera alla på listan med skadliga e-postmeddelanden. Eftersom e-postmeddelandet ser ut att komma från en pålitlig källa kommer användarna att vara mer benägna att klicka på de medföljande länkarna eller öppna en bifogad fil.

Om det finns ett anslutet nätverk försöker Emotet sprida sig med hjälp av brute force-attack. Den kommer att prova olika kombinationer av användarnamn och lösenord för att se om den kan få tillgång till nätverket på detta sätt.

Ett annat sätt för Emotet att sprida sig är genom att utnyttja Eternal Blue/Double Pulsar-sårbarheter. Det är samma sårbarheter som utnyttjades i de ökända WannaCry- och NotPetya-attackerna som orsakade enorma globala störningar.

Vad kan du göra för att förhindra Emotet-infektion?

• Håll din programvara uppdaterad med de senaste säkerhetspatcherna från Microsoft - Emotet malware utnyttjar ofta Windows Eternal Blue Vulnerability. Regelbundna patchar åtgärdar säkerhetsbrister, tar bort föråldrade funktioner och uppdaterar drivrutiner.
• Följ goda säkerhetsrutiner för att minimera risken för infektion - Undvik att klicka på länkar eller ladda ner bilagor från okända källor. Röd flagg kan vara: en generisk hälsning, dålig grammatik, hotfullt språk, en felanpassad webbadress, stavfel, krav på priser eller en begäran om känslig information som användarnamn eller lösenord.
• Utbildning i cybersäkerhet - Emotet-infektioner bygger till stor del på att en användare öppnar ett phishing-e-postmeddelande. För att se till att de anställda kan känna igen dessa hot på ett effektivt sätt är det viktigt att de får regelbunden utbildning i cybersäkerhet. Utbildningen hjälper personalen att försvara din organisation och minskar sannolikheten för att nätverk infekteras med Emotet.
• Använd antivirusprogram - Emotet malware har lyckats undvika att upptäckas av många typer av antivirusprogram. Det är dock fortfarande viktigt att investera i en pålitlig antiviruslösning som använder teknik för beteendeblockering utöver signaturbaserat skydd.
• Skapa ett starkt och komplext lösenord - Ett starkt lösenord bör vara mellan 8-15 tecken långt, bestå av en blandning av stora och små bokstäver och innehålla siffror och symboler. En lösenfras kan också användas för att memorera längre och mer komplexa lösenord. För att göra lösenfrasen säker: Använd en fras som är lätt att komma ihåg men som är slumpmässig, lägg till mellanslag, byt ut bokstäver mot siffror och lägg till extra tecken för att göra det ännu säkrare.
• Använd tvåfaktorsautentisering (2FA) - Tvåfaktorsautentisering ger ytterligare ett säkerhetslager till autentiseringsprocessen genom att göra det svårare för en hackare att få tillgång till en persons enhet. Förutom ett lösenord kräver tvåfaktorsautentisering en andra information för att bekräfta användarens identitet.
• Extern e-postbanner - Använd en e-postbanner för att meddela anställda att ett e-postmeddelande kommer från en extern källa.
• Blockera tvivelaktiga filer och bilagor - Tänk på att blockera bilagor som ofta förknippas med skadlig kod, t.ex. .dll och .exe, och bilagor som inte kan skannas av antivirusprogram, t.ex. .zip-filer.

Så här tar du bort Emotet Malware från en infekterad enhet

Som vi har sett ovan kan Emotet malware snabbt spridas till andra datorer som är anslutna till nätverket om det inte begränsas och avlägsnas så snabbt som möjligt. Om du tror att din enhet eller ditt nätverk har äventyrats av Emotet bör du omedelbart vidta följande åtgärder:

• Kör en antivirusskanning av systemet och vidta åtgärder för att isolera eventuella infekterade datorer baserat på resultaten.
• Identifiera, stäng av och ta bort alla infekterade datorer från nätverket.
• Överväg att tillfälligt stänga av nätverket för att stoppa spridningen av skadlig kod.
• Identifiera infektionskällan.
• Rengör varje dator en efter en för att förhindra att den smittas på nytt.
• Ändra och uppdatera lösenord för domän- och lokala autentiseringsuppgifter.

Phishing är den främsta orsaken till alla cyberattacker och fortsätter att vara ett av de enklaste sätten att stjäla värdefulla data och leverera utpressningstrojaner. MetaPhish har skapats för att ge ett kraftfullt försvar mot dessa hot och gör det möjligt för organisationer att ta reda på hur mottagligt deras företag är för nätfiske. Kontakta oss för mer information om hur MetaPhish kan användas för att skydda ditt företag.