Emotet: Sådan beskytter du dig bedst mod trojanske heste

Hvad er Emotet?

Emotet er et computermalwareprogram, der oprindeligt blev udviklet som en netbanktrojaner. Målet var at få adgang til udenlandske enheder og udspionere følsomme private data. Emotet har været kendt for at kunne narre grundlæggende antivirusprogrammer og skjule sig for dem. Når først systemet er inficeret, spredes malwaren som en computerorm og forsøger at infiltrere andre computere i netværket.

Emotet spredes hovedsageligt gennem spam-e-mails. Den respektive e-mail indeholder et skadeligt link eller et inficeret dokument. Hvis du downloader dokumentet eller åbner linket, downloades der automatisk yderligere malware til din computer. Disse e-mails ser meget autentiske ud, og mange mennesker er blevet ofre for Emotet.

Emotet – begreber og definition

Emotet blev først opdaget i 2014, hvor kunder fra tyske og østrigske banker blev udsat for trojanerne. Emotet havde fået adgang til kundernes logindata. I de følgende år spredte virusset sig globalt.

Emotet udviklede sig fra at være en netbanktrojaner til at blive en dropper, hvilket betyder, at trojaneren genindlæser malware på enhederne. Disse enheder bliver derefter ansvarlige for den faktiske skade på systemet.

I de fleste tilfælde blev følgende programmer "droppet":

• Trickster (også kaldet TrickLoader eller TrickBot): En netbanktrojaner, der forsøger at få adgang til logindata på bankkonti.
• Ryuk: En krypteringstrojaner – også kaldet kryptotrojaner eller ransomware – krypterer data og forhindrer dermed brugeren af computeren i at få adgang til disse data eller til hele systemet.

Målet for de cyberkriminelle bag Emotet er ofte at afpresse penge fra deres ofre. For eksempel truer de med at udgive eller frigive de krypterede data, de får adgang til.

Hvem går Emotet efter?

Emotet er rettet mod både privatpersoner, virksomheder, organisationer og myndigheder. I 2018 måtte Fuerstenfeldbruck-hospitalet i Tyskland lukke 450 computere efter at være inficeret med Emotet og endda logge af fra redningskontrolcentret i et forsøg på at kontrollere infektionen. I september 2019 blev appelretten i Berlin påvirket, og i december 2019 gik det ud over universitetet i Giessen. Hannovers medicinske universitet og kommunaladministrationen i Frankfurt am Main blev også inficeret af Emotet.

Disse er blot nogle få eksempler på Emotet-infektioner, og det ikke-kendte antal berørte virksomheder skønnes at være meget højere. Det antages også, at mange inficerede virksomheder ikke har ønsket at anmelde deres databrud af frygt for at skade deres omdømme.

Det er også værd at huske på, at mens Emotet i starten primært gik efter virksomheder og organisationer, er trojaneren nu primært rettet mod privatpersoner.

Hvilke enheder risikerer at blive påvirket af Emotet?

I første omgang blev inficeringer med Emotet kun registreret på nyere versioner af Microsoft Windows-operativsystemet. Men i begyndelsen af 2019 blev det kendt, at computere fremstillet af Apple også var påvirket af Emotet. De cyberkriminelle lokkede brugere i en fælde med en falsk e-mail fra Apple Support. De hævdede, at de ville "begrænse adgangen til kontoen", hvis offeret ikke svarede. Ofrene blev derefter bedt om at følge et link for angiveligt at forhindre deaktivering og sletning af deres Apple-tjenester.

Hvordan spreder Emotet-trojaneren sig?

Emotet distribueres hovedsageligt via en såkaldt Outlook-høst. Trojaneren læser e-mails fra brugere, der allerede er blevet inficeret, og ud fra dette skaber den indhold, som ser meget ægte ud. Disse e-mails fremstår legitime og personlige og skiller sig således ud fra de generelle spam-e-mails. Emotet sender disse phishing-e-mails til offerets gemte kontakter såsom venner, familiemedlemmer og arbejdskolleger.

For det meste indeholder disse e-mails et inficeret Word-dokument, som modtageren skal downloade, eller et farligt link. Afsenderen vises altid som kontaktens navn. Derfor tror modtagerne, at det er sikkert. Det hele ligner en legitim e-mail. De klikker derefter (i de fleste tilfælde) på det farlige link eller downloader den inficerede vedhæftede fil.

Når Emotet har fået adgang til et netværk, kan den sprede sig. I løbet af processen forsøger malwaren at knække adgangskoder til konti ved hjælp af brute force-metoden. Andre måder, hvorpå Emotet har spredt sig, omfatter EternalBlue-udnyttelsen og DoublePulsar-sårbarheden på Windows, som gjorde det muligt at installere malware uden menneskelig indgriben. I 2017 var afpresningstrojaneren WannaCry i stand til at bruge EternalBlue-udnyttelsen til et større cyberangreb, der forårsagede meget omfattende skade.

Hvem står bag Emotet?

Tysklands forbundskontor for informationssikkerhed (BSI) mener, at

"Udviklerne af Emotet fremlejer deres software og infrastruktur til tredjeparter".

De er også afhængige af yderligere malware for at kunne forfølge deres egne mål. BSI mener, at cyberforbryderne er økonomisk motiverede og anser det derfor som cyberkriminalitet – ikke spionage. Alligevel synes ingen at have et klart svar på, hvem der præcist står bag Emotet. Der er forskellige rygter om oprindelseslandene, men ingen pålidelige beviser.

Hvor farlig er Emotet?

Department of Homeland Security i USA har konkluderet, at Emotet er en særlig dyr software med enorm destruktiv kraft. Omkostningerne ved oprydning anslås til omkring en million dollars pr. hændelse. Derfor kalder Arne Schönbohm, leder af det tyske forbundskontor for informationssikkerhed (BSI), Emotet for "kongen af malware".

Emotet er uden tvivl en af de mest komplekse og farligste malwares, vi nogensinde har set. Virusset er polymorft, hvilket betyder, at dets kode ændres en smule, hver gang det bliver tilgået.

Dette gør det svært for antivirusprogrammer at identificere virusset, idet mange antivirusprogrammer udfører signaturbaserede søgninger. I februar 2020 opdagede sikkerhedsforskere fra Binary Search, at Emotet nu også angriber Wi-Fi-netværk. Hvis en inficeret enhed er sluttet til et trådløst netværk, scanner Emotet alle trådløse netværk i nærheden. Ved hjælp af en adgangskodeliste forsøger virusset derefter at få adgang til netværkene og dermed inficere andre enheder.

Cyberkriminelle kan lide at udnytte folks frygt. Derfor er det ikke overraskende, at frygten for coronavirusset, der har cirkuleret over hele verden siden december 2019, også udnyttes af trojaneren Emotet. De cyberkriminelle bag denne trojaner forfalsker ofte e-mails, der skal informere om coronavirus og uddanne offentligheden. Så hvis du finder en sådan e-mail i din indbakke, skal du være særlig forsigtig med eventuelle vedhæftede filer eller links i e-mailen.

Hvordan kan jeg beskytte mig selv?

Når du vil beskytte dig mod Emotet og andre trojanere, er det ikke nok udelukkende at bruge antivirusprogrammer. Opdagelsen af polymorfe virus er kun det første skridt for slutbrugerne. Der findes ganske enkelt ingen løsning, der giver 100 % beskyttelse mod Emotet eller andre konstant skiftende trojanere. Kun ved at træffe organisatoriske og tekniske foranstaltninger kan du holde risikoen for infektion nede på et minimum.

Her er nogle tips til at beskytte dig mod Emotet:

• Hold dig opdateret. Hold dig regelmæssigt informeret om yderligere udviklinger vedrørende Emotet. Der er flere måder at gøre dette på, såsom at følge med i Kaspersky Resource Center eller lave din egen research.
• Sikkerhedsopdateringer: Det er vigtigt, at du installerer opdateringer fra producenterne så hurtigt som muligt for at lukke eventuelle sikkerhedshuller. Dette gælder for operativsystemer som Windows og macOS samt programmer, browsere, tilføjelsesprogrammer til browseren, e-mailklienter, Office-pakken og PDF-programmer.
• Virusbeskyttelse: Sørg for at installere et komplet virus- og malwarebeskyttelsesprogram såsom Kaspersky Internet Security, og indstil det til at scanne din computer regelmæssigt for sårbarheder. Dette giver dig den bedst mulige beskyttelse mod de nyeste vira, spyware osv.
• Undlad at downloade tvivlsomme vedhæftede filer fra e-mails eller klikke på mistænkelige links. Hvis du er usikker på, om en e-mail er falsk, skal du ikke løbe nogen risiko. Lad være med at kontakte afsenderen. Hvis du bliver bedt om at give tilladelse til, at en makro må køre på en downloadet fil, skal du under ingen omstændigheder gøre det. Slet filen med det samme. På denne måde giver du ikke Emotet nogen mulighed for at komme ind på din computer i første omgang.
• Sikkerhedskopier dine data regelmæssigt til en ekstern lagerenhed. I tilfælde af en infektion har du altid en sikkerhedskopi at falde tilbage på, og du vil ikke miste alle data på din enhed.
• Brug kun stærke adgangskoder til alle logins (netbank, e-mailkonto, onlinebutikker). Det skal altså ikke være navnet på din første hund, men en tilfældig samling af bogstaver, tal og specialtegn. Du kan enten finde på dem selv eller generere dem fra forskellige programmer til adgangskodegenerering. Derudover tilbyder mange programmer i dag mulighed for tofaktorgodkendelse.
• Filudvidelser: Få din computer til at vise filudvidelser som standard. Dette giver dig mulighed for at registrere tvivlsomme filer som "IMG123.jpg.exe". som har tendens til at være skadelige programmer.

Hvordan fjerner jeg Emotet?

Først og fremmest skal du lade være med at gå i panik, hvis du har mistanke om, at din pc kan være inficeret med Emotet. Informer din omgangskreds om infektionen, da personer i dine e-mailkontakter potentielt kan være i fare.

Herefter skal du sørge for at isolere computeren, hvis den er tilsluttet et netværk, så du kan reducere risikoen for spredning af Emotet. Derefter skal du ændre alle logindata for alle dine konti (e-mailkonti, webbrowsere osv.) Gør dette på en separat enhed, der ikke er inficeret eller tilsluttet det samme netværk.

Fordi Emotet er polymorf (hvilket betyder, at koden ændres lidt, hver gang den åbnes), kan en renset computer hurtigt geninficeres, hvis den er tilsluttet et inficeret netværk. Derfor skal du rense alle computere, der er tilsluttet netværket – en ad gangen. Brug et antivirusprogram til at hjælpe dig med at gøre dette. Alternativt kan du også kontakte en specialist, f.eks. din udbyder af antivirussoftware, for at få vejledning og hjælp.

EmoCheck: Hjælper dette værktøj virkelig imod Emotet?

Det japanske CERT (Computer Emergency Response Team) har udgivet et værktøj kaldet EmoCheck, som hævder, at det kan bruges til at kontrollere din computer for en Emotet-infektion. Men da Emotet er polymorf, kan EmoCheck ikke garantere 100 %, at din computer ikke er inficeret.

EmoCheck registrerer de typiske tegnstrenge og advarer dig om en potentiel trojaner. Men mutantegenskaben af virussen garanterer ikke, at din computer er rigtig ren, og det skal du være meget opmærksom på.

Afsluttende bemærkninger

Den trojanske Emotet er virkelig en af de farligste malwares i cybersikkerhedens historie. Alle kan blive offer for den, både privatpersoner, virksomheder og endda globale myndigheder. Når først trojaneren har infiltreret et system, genindlæser den en anden slags malware, der udspionerer dig.

Mange af ofrene for Emotet bliver ofte afpresset til at betale løsepenge for at få dataene tilbage. Desværre er der ingen løsning, der giver 100 % beskyttelse mod en infektion med Emotet. Der er dog flere foranstaltninger, man kan træffe for at reducere risikoen for infektion.

Hvis du har mistanke om, at din computer er inficeret med Emotet, skal du udføre de handlinger, der er nævnt i denne artikel, for at rense din computer. Desuden skal du sikre dig, at du er beskyttet med en omfattende antivirusløsning som Kasperskys antimalwareløsninger.

Relaterede artikler:

• Hvad er en trojansk virus?
• Hvad er WannaCry-ransomware?
• Hvad er de forskellige typer af ransomware?
• Tip til at undgå ransomware-angreb