SKADEVARE

Forskere advarer: En av verdens farligste skadevarer er på ferde igjen etter en «pause»

Emotet sniker seg nok en gang rundt på nettet.

Emotet har inntatt internett igjen etter et lite avbrekk, melder sikkerhetsselskap.
Emotet har inntatt internett igjen etter et lite avbrekk, melder sikkerhetsselskap. Illustrasjonsfoto: Colourbox/36561334
10. mars 2023 - 16:00

Emotet er navnet på en svært skadelig skadevare som har en tendens til å forsvinne og dukke opp igjen med ujevne mellomrom. Nå er den uvelkomne inntrengeren på ferde igjen, rapporterer blant andre Bleeping Computer.

Sikkerhetsselskapet Cofense rapporterer at Emotet gjenopptok aktiviteten sin den 7. mars etter å ha tatt en «pause» på flere måneder.

Sprer seg via Zip-filer

Selskapet har registrert at Emotet nå fortsetter å spre seg via e-poster med .zip-filer som vedlegg. E-postene sendes tilsynelatende som svar på e-postkjeder som allerede eksisterer, og vedleggene er ikke passordbeskyttet, skriver Cofense.

Temaene til vedleggene i e-postene er i de fleste tilfellene relatert til fakturaer eller andre finansielle data.

Zip-filene som sendes som vedlegge denne gangen inneholder ifølge sikkerhetsselskapet et Office-dokument med makroer. Når disse åpnes bes brukeren om å «aktivere innholdet», som da kjører den ondsinnede makroen.

Sist Digi.no rapporterte om Emotet var for ganske nøyaktig ett år siden, i midten av mars 2022. Da var skadevaren tilbake etter et lengre avbrudd som trolig skyldtes den massive politiaksjonen mot Emotet-botnettet i januar 2021. 

– Emotet har vært en av de mest profesjonelle og levedyktige cyberkriminalitetstjenestene der ute. Etter å ha blitt oppdaget som en banktrojaner i 2014 utviklet skadevaren seg til å bli den foretrukne løsningen for cyberkriminelle med årene. Emotet-infrastrukturen fungerte essensielt sett som en døråpner for datasystemer på global skala, het det i Europols pressemelding den gang.

Åpner opp systemer for annen skadevare

En av de farligste egenskapene ved Emotet er at den brukes til å «leie» ut tilgang til infiserte systemer til andre skadevare-aktører, og på den måten la til rette for effektiv spredning av øvrig, farlig skadevare – deriblant de svært ødeleggende løsepengevirusene.

Utpressingsviruset Ryuk skal være blant dem som har basert seg på systemtilganger muliggjort av Emotet. Som digi.no meldte tidligere har Ryuk-bakmennene anslagsvis tjent rundt 1,2 milliarder kroner på viruset. Trickbot, som Digi.no også tidligere har omtalt, er en annen skadevare som skal ha benyttet seg av Emotet-botnettet for å spre seg. 

Skadevaren sprer seg, som også i dette nye tilfellet, primært via e-post – hovedsakelig Word-filer som enten legges inn som  vedlegg eller som lastes ned via lenker i e-postene.

Emotet er også i stand til å spionere seg til tilgangsdataene for e-postkontoer konfigurert på systemene, og innholdet i postkassene. Tilgangsdataene blir deretter misbrukt for å sende spam-post via kompromitterte kontoer for videre distribusjon.

Over et år etter aksjonen meldte sikkerhetsselskapet Blak Lotus Labs at Emotet var tilbake for fullt, med rundt 130.000 unike, nye boter fordelt på 179 land siden november 2021. Akkurat hvor stort nettverket er i dag, er uvisst, men det er ingen tvil som at skadevaren fortsetter å utgjøre en betydelig trussel.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.