Emotet er navnet på en skadevare som mange sikkerhetseksperter har utpekt som en av de aller farligste internettruslene som har herjet de siste par årene. Nå har skadevaren fått seg en skikkelig bulk i siden, melder blant andre BBC.
Europol, FBI og politimyndigheter i en rekke land gikk nylig til en global storaksjon mot Emotet som skal ha ført til at man har tatt kontroll over det omfattende nettverket av Emotet-infiserte systemer – det såkalte botnettet som bakmennene har brukt til ugjerningene sine.
Global døråpner
– Emotet har vært en av de mest profesjonelle og levedyktige cyberkriminalitetstjenestene der ute. Etter å ha blitt oppdaget som en banktrojaner i 2014 utviklet skadevaren seg til å bli den foretrukne løsningen for cyberkriminelle med årene. Emotet-infrastrukturen fungerte essensielt sett som en døråpner for datasystemer på global skala, heter det i Europols pressemelding.
Ifølge Europol er en av de farligste egenskapene ved Emotet at den ble brukt til å «leie» ut tilgang til infiserte systemer til andre skadevare-aktører, og på den måten la til rette for effektiv spredning av øvrig, farlig skadevare – deriblant de svært ødeleggende løsepengevirusene.
Utpressingsviruset Ryuk skal være blant dem som har basert seg på systemtilganger muliggjort av Emotet. Som digi.no meldte tidligere denne måneden har Ryuk-bakmennene anslagsvis tjent rundt 1,2 milliarder kroner på viruset.
Trickbot, som vi også tidligere har omtalt, er en annen skadevare som skal ha benyttet seg av Emotet-botnettet for å spre seg.
Kom tilbake for fullt i julen
Emotet har ligget litt i dvale en stund, men den dukket for alvor opp igjen i julen med nye egenskaper som gjorde den vanskeligere å oppdage, og med et svært raskt spredningstempo på rundt 500 000 nye ofre per dag, ifølge sikkerhetsforskere.
Skadevaren sprer seg primært via e-post, hovedsakelig Word-filer som enten legges inn som vedlegg eller som lastes ned via lenker i e-postene. Emotet er også i stand til å spionere seg til tilgangsdataene for e-postkontoer konfigurert på systemene, og innholdet i postkassene. Tilgangsdataene blir deretter misbrukt for å sende spam-post via kompromitterte kontoer for videre distribusjon.
Infrastrukturen som ble brukt av Emotet bestod ifølge Europol av flere hundre servere spredt rundt i hele verden. Disse hadde forskjellige typer funksjonalitet, blant annet for administrasjon av de infiserte systemene, bedre beskyttelse mot mottiltak og for videre spredning.
Aksjonen gikk ut på å ta kontroll over infrastrukturen fra innsiden, og infiserte maskiner vil nå bli omdirigert til infrastrukturen som kontrolleres av politiet.