In Duitsland worden steeds meer bedrijven het slachtoffer van Emotet-malware. Onder andere het Federale Bureau voor Informatiebeveiliging in Duitsland (BSI) waarschuwt nu voor de malware. De organisatie ziet de afgelopen dagen een toenemend aantal meldingen van ernstige security-incidenten als gevolg van Emotet-infecties. In een aantal gevallen is er door storingen in de algehele IT-infrastructuur spake van miljoenen euro’s schade en zijn kritieke bedrijfsprocessen platgelegd.

Emotet begint met een e-mail die afkomstig lijkt van collega’s of zakelijke partner, met als bijlage een Office-document met een kwaadaardige macro. Zodra de gebruiker de macro activeert, wordt de malware op het systeem geïnstalleerd. Emotet beschikt ook over een module die de malware in staat stelt andere systemen binnen het netwerk aan te vallen.

Emotet verzamelt eerst informatie over zijn slachtoffers, zoals wie met wie binnen een bedrijf communiceert, ook wel Outlook Harvesting genoemd. De nieuwste versies van Emotet gebruiken zelfs de inhoud van bestaande e-mails.
De malware verstuurt namelijk een aantal weken e-mailinhoud uit de mailboxen van geïnfecteerde systemen naar de daders. Deze informatie stelt de daders perfect in staat de malware weer verder te verspreiden aangezien de ontvangers phishingmails krijgen die zeer authentiek ogen. Zo zijn de e-mails van afzenders waarmee de ontvanger recent mee in contact is geweest.

“Emotet is naar onze mening een voorbeeld van een zeer professionele Advanced Persistent Threat (APT)-aanval”, zegt BSI-president Arne Schönbohm op Heise Online.

Emotet-malware gebruikt een lijst van zo’n 1000 wachtwoorden om andere systemen die in het netwerk aanwezig zijn te infecteren. Het maakt hierbij gebruik van de NSA exploit EternalBlue.