Emotet: Een van de gevaarlijkste malware
Emotet bleek een van de meest destructieve en wijdverspreide malware-varianten actief op het internet. In de loop der tijd ontwikkelde het zich tot een gecommercialiseerd platform waar bedreigingsactoren kwaadaardige campagnes konden uitvoeren via een pay-per-install (PPI) model, waarvan de diefstal van gevoelige gegevens en afpersing profiteerden. Het aantal Microsoft Windows-computers dat momenteel door Emotet is gecompromitteerd, wordt geschat op meer dan een miljoen.
Evolutie van Emotet naar malware-as-a-service
Emotet begon in 2014 als een banktrojaans en ontwikkelde zich door de jaren heen tot een “malware as a service”-structuur die toegang biedt tot benaderde netwerken voor betalende gebruikers. Op consumenten-pc’s fungeerde Emotet als een informatie- en wachtwoorddiefstaltool. Bovendien bevatte het een spammodule die Emotet in staat stelde zich via e-mail te verspreiden, met gebruik van kwaadaardige links of bijlagen.
Verspreiding en impact op netwerken
Emotet verstuurde dagelijks tienduizenden e-mails met malware vanuit eerder gecompromitteerde accounts, waarbij het zich voordeed als meldingen van accountgegevens, Covid-informatie, verzendnotificaties en andere thema’s die gebruikers moesten aanzetten tot interactie. Een belangrijke strategie was het kapen van e-mailthreads: het inbrengen van besmette e-mails in bestaande gesprekken om ontvangers te misleiden. Op bedrijfsnetwerken binnen een Windows-domein voerde Emotet verkenning uit en fungeerde als een dropper voor aanvullende malware op de machines van slachtoffers. Zodra de aanvallers voldoende informatie hadden verzameld en toegang kregen tot hooggeprivilegieerde accounts, versleutelden ze bedrijfsnetwerken met ransomware. Hun doelen omvatten onder anderen particulieren, bedrijven, overheidsinstellingen en zorgverleners, waaronder ziekenhuizen, waarbij er een aanzienlijk percentage van de malware in de gezondheidszorgsector trojaanse virussen zijn, met Emotet als de meest voorkomende.