Hvad er Emotet?
Emotet er computermalware, der oprindeligt blev udviklet som en såkaldt banktrojaner. Målet var at skaffe sig adgang til andre personers enheder og deres følsomme, private oplysninger. Emotet er i stand til at narre almindelige antivirusprogrammer og skjule sig for dem. Når først enheden er inficeret, spredes malwaren som en computerorm og forsøger at infiltrere andre computere i netværket.
Emotet spredes hovedsageligt gennem spam-e-mails. E-mailen indeholder et skadeligt link eller et inficeret dokument med aktiverede makroer. Hvis du downloader dokumentet eller åbner linket, downloades der automatisk yderligere malware til din computer. Disse e-mails ser meget autentiske ud.
Begrebet Emotet
Emotet blev først opdaget i 2014, hvor kunder fra tyske og østrigske banker blev udsat for trojanerne. Emotet havde skaffet sig adgang til kundernes logindata. I de efterfølgende år spredte malwaren sig over hele verden.
Siden da har Emotet udviklet sig fra at være en banktrojaner til at blive en dropper, hvilket betyder, at trojaneren indlæser malware. Denne malware er derefter ansvarlig for den faktiske skade på systemet. I de fleste tilfælde er følgende programmer involveret:
- TrickBot: En banktrojaner, der forsøger at skaffe sig adgang til loginoplysninger til bankkonti.
- Ryuk: En krypteringstrojaner – også kendt som en crypto-trojaner eller ransomware – krypterer data og forhindrer dermed computerens bruger i at få adgang til de pågældende data eller låser hele systemet.
Målet for de cyberkriminelle, der står bag Emotet, er ofte at afpresse penge fra deres ofre. De truer for eksempel med at offentliggøre de krypterede data eller aldrig frigive dem igen. Normalt henviser Emotet til hele den proces, der omfatter inficering, yderligere download af malwaren og distribueringen af den.
Hvem er målgruppen for Emotet?
Privatpersoner, virksomheder, organisationer og offentlige myndigheder. I 2018 måtte en sundhedsklinik i Fürstenfeldbruck lukke 450 computere og logge af beredskabscenteret efter at være blevet inficeret med Emotet. I september 2019 blev Berlins appelret – Kammergericht – for eksempel berørt, og i december 2019 gik det ud over universitet i Giessen.
Den medicinske højskole i Hannover og kommunaladministrationen i Frankfurt am Main blev også inficeret af Emotet. Antallet af berørte virksomheder er sandsynligvis meget højere. Det antages, at mange inficerede virksomheder ikke ønsker at indberette en infektion af frygt for flere angreb og for at skade deres rygte.
I begyndelsen var det overvejende virksomheder, der var målgruppen for Emotet, men nu er det især privatpersoner, som udsættes for trojaneren.
Hvilke enheder risikerer at blive berørt af Emotet?
I første omgang blev inficering med Emotet kun registreret i moderne versioner af Microsoft Windows-operativsystemet. Men i starten af 2019 stod det klart, at også Appel-computere var berørt af Emotet. Gerningsmændene lokkede brugerne i en fælde med en falsk e-mail fra Appel-support med oplysninger om, at virksomheden havde "begrænset adgang til din kundekonto". I e-mailen stod der også, at brugerne skulle følge et link for at undgå, at visse Apple-tjenester blev deaktiveret og slettet.
Sådan spredes Emotet-trojaneren
Emotet spredes hovedsageligt via en såkaldt Outlook-høst. Trojaneren læser e-mails fra allerede berørte brugere og opretter falsk indhold, der virker ægte. Disse e-mails fremstår autentiske og personlige og skiller sig således ud fra de almindelige spam-e-mails. Emotet videresender disse phishing-e-mails til gemte kontakter – dine venner, familiemedlemmer, arbejdskolleger eller din chef.
Det drejer sig i de fleste tilfælde om e-mails, som indeholder et inficeret Word-dokument, der skal downloades, eller et farligt link. Afsenderen vises altid som kontaktens navn. På den måde lulles modtagerne ind i en falsk følelse af sikkerhed, fordi det hele virker, som om det er en normal, personlig e-mail fra dig, og der er derfor stor sandsynlighed for, at de klikker på det farlige link eller den inficerede vedhæftede fil.
Emotet kan spredes yderligere, når den har adgang til et netværk. I den situation forsøger den at bruge brute-force-metoden til at knække adgangskoderne til dine konti. Andre måder, hvorpå Emotet har spredt sig, omfatter EternalBlue-sikkerhedsfejlen og DoublePulsar-sårbarheden i Windows, som gjorde det muligt at installere malware uden menneskelig indgriben. I 2017 var afpresningstrojaneren WannaCry i stand til at bruge EternalBlue-udnyttelsen til at udføre et alvorligt cyberangreb og skabe ravage.
Emotet: Malwareinfrastruktur knust
I slutningen af januar 2021 annoncerede generaladvokatens kontor i Frankfurt am Main – den centrale myndighed til bekæmpelse af internetkriminalitet (CIT) – og forbundskriminalpolitiet (FCO), at Emotet-infrastrukturen var blevet "overtaget og knust" som en del af en fælles international indsats. De retshåndhævende myndigheder fra Tyskland, Nederlandene, Ukraine, Frankrig og Litauen samt Storbritannien, Canada og USA var involveret i operationen.
Disse myndigheder siger, at det lykkedes at deaktivere mere end 100 servere, der indgik i Emotet-infrastrukturen, heraf 17 alene i Tyskland. Dette var blot begyndelsen af optrævlingen. FCO havde indsamlet data og efter yderligere analyse lokaliseret flere servere rundt om i Europa.
I henhold til FCO blev Emotet-malwarens infrastruktur knust og gjort harmløs. Myndighederne i Ukraine var i stand til at overtage infrastrukturen og desuden beslaglægge flere computere, harddiske, penge og guldbarrer. Hele operationen blev koordineret af Europol og Eurojust, der er EU's agentur for retligt samarbejde i straffesager.
Ved at overtage kontrollen over Emotets infrastruktur kunne myndighederne gøre malwaren på de berørte tyske ofres systemer ubrugelige for gerningsmændene. For at forhindre dem i at tage kontrollen tilbage, satte ekspertgrupperne malwaren i karantæne på de berørte ofres systemer. Derudover justerede de softwarens kommunikationsparametre, så den kun kunne kommunikere med en særligt konfigureret infrastruktur. Formålet var udelukkende at bevare beviserne. I denne proces indhentede myndighederne oplysninger om de berørte ofres systemer, for eksempel offentlige IP-adresser. Disse blev overført til det tyske forbundskontor for informationssikkerhed (BSI).
Hvem står bag Emotet?
Det tyske forbundskontor for informationssikkerhed (BSI) mener, at "udviklerne af Emotet fremlejede deres software og infrastruktur til tredjepart". De var til gengæld afhængige af yderligere malware for at kunne forfølge deres egne mål. BSI er af den opfattelse, at det drejer sig om cyberkriminalitet med økonomiske motiver frem for spionage.
Ingen lader til at vide, hvem der står bag. Rygterne siger, at Emotet stammer fra Rusland eller Østeuropa, men der er ingen velunderbyggede beviser for dette.
Emotet: Yderst destruktiv malware
Department of Homeland Security i USA har konkluderet, at Emotet er en særlig dyr software med enorme destruktive kræfter. Omkostningerne ved oprydning anslås til omkring en million dollars pr. hændelse. Derfor kalder Arne Schönbohm, der er leder af det tyske forbundskontor for informationssikkerhed (BSI), Emotet for "kongen af malware".
Emotet er uden tvivl en af de mest komplekse og farligste malwareprogrammer, vi nogensinde har set. Malwaren er polymorf, hvilket betyder, at dens kode ændres en lille smule, hver gang den bliver tilgået. Dette gør det svært for antivirusprogrammer at identificere malwaren, eftersom mange antivirusprogrammer udfører signaturbaserede søgninger. I februar 2020 opdagede sikkerhedsforskere fra Binary Search, at Emotet nu også angriber wi-fi-netværk. Hvis en inficeret enhed har forbindelse til et trådløst netværk, scanner Emotet alle trådløse netværk i nærheden. Ved hjælp af en adgangskodeliste forsøger malwaren derefter at få adgang til netværkene og på den måde inficere andre enheder.
Cyberkriminelle kan lide at udnytte folks frygt. Derfor er det ikke overraskende, at frygten for COVID-19, der har cirkuleret over hele verden siden december 2019, også udnyttes af Emotet. De cyberkriminelle bag trojaneren forfalsker ofte e-mails, der foregiver at indeholde vigtige oplysninger om COVID-19, til befolkningen. Hvis du modtager en sådan e-mail i din indbakke, skal du derfor være særlig forsigtig i forhold til eventuelle vedhæftede filer eller links i meddelelsen.
Hvordan kan jeg beskytte mig selv mod Emotet?
Når du vil beskytte dig mod Emotet og andre trojanere, er det ikke nok udelukkende at bruge antivirusprogrammer. Faktisk er registrering af den polymorfe malware kun det første problem, slutbrugerne står over for. Der korte af det lange er, at der ikke findes nogen løsning, som yder 100 % beskyttelse mod Emotet eller nogen anden trojaner, der kan ændre sig. Organisationsmæssige og tekniske sikkerhedsforanstaltninger kan dog alene minimere risikoen for infektion. Nedenfor kan du se de sikkerhedsforanstaltninger, du bør iværksætte for at beskytte dig selv mod Emotet:
- Hold dig opdateret! Sørg for at holde dig opdateret om udviklingen af Emotet. Det kan du gøre på flere måder, for eksempel gennem BSI-nyhedsbrevet, Kasperskys nyhedsbrev eller ved selv at søge oplysninger.
- Sikkerhedsopdateringer: Sørg for at installere producenternes opdateringer så hurtigt som muligt for at eliminere mulige sikkerhedsmæssige sårbarheder. Dette gælder for operativsystemer som Windows og macOS samt programmer, browsere, tilføjelsesprogrammer til browseren, e-mailklienter, Office-programmer og PDF-programmer.
- Antivirussoftware: Installér et antivirusprogram som Kaspersky Internet Security, og sørg for, at det regelmæssigt scanner computeren for at finde eventuelle sårbarheder. Dette giver dig den bedst mulige beskyttelse mod de nyeste vira, spyware og andre onlinetrusler.
- Undlad at downloade tvivlsomme vedhæftede filer fra e-mails eller klikke på mistænkelige links. Hvis du ikke er sikker på, om en e-mail er falsk, skal du ikke tage nogen chancer – kontakt i stedet den person, der angiveligt skulle have sendt den! Hvis du bliver bedt om at tillade, at der afspilles en makro under download af en fil, skal du under ingen omstændigheder tillade det. Slet i stedet filen med det samme. På den måde forhindrer du i første omgang Emotet i at havne på din computer.
- Sikkerhedskopier: Sikkerhedskopiér regelmæssigt dine data på et eksternt datamedie. I tilfælde af en infektion har du altid en sikkerhedskopi at falde tilbage på, og du mister ikke alle data på din pc.
- Adgangskoder: Brug kun stærke adgangskoder til alle logins (netbank, e-mailkonto, onlinebutikker). Du skal med andre ord ikke vælge navnet på din første hund, men derimod en tilfældig rækkefølge af bogstaver, tal og specialtegn. Du kan enten selv finde på disse eller få et program som en adgangskodeadministrator til at genere dem. Derudover omfatter mange programmer nu muligheden for tofaktorgodkendelse.
- Filtypenavne: Sørg for, at filtypenavne som standard vises på computeren. Det hjælper dig med at genkende tvivlsomme filer som "Feriebillede123.jpg.exe".
Hvordan fjerner jeg Emotet?
Først og fremmest: Gå ikke i panik, hvis du har mistanke om, at din pc er blevet inficeret med Emotet! Fortæl dine omgivelser, at du er blevet inficeret, da dine e-mailkontakter og andre enheder, der har forbindelse til dit netværk, også kan være i fare.
Herefter skal du sørge for at isolere computeren, hvis den har forbindelse til et netværk, så du kan reducere risikoen for spredning af Emotet. Du skal derefter ændre alle adgangsdata for dine konti, det vil sige e-mailkonti, webbrowsere osv.
Da Emotet-malwaren er polymorf, og dens kode altid ændres en lille smule, hver gang den aktiveres, kan en renset computer hurtigt blive inficeret igen, så snart den opretter forbindelse til et inficeret netværk. Du skal derfor rense alle computere, der har forbindelse til netværket, en ad gangen. Brug et antivirusprogram til dette. Du kan også kontakte en specialist, for eksempel udbyderen af din antivirussoftware.
EmoCheck: Hjælper dette værktøj virkelig imod Emotet?
Det japanske CERT (Computer Emergency Response Team) har udgivet værktøjet EmoCheck, som du kan bruge til at kontrollere, om din computer er inficeret med Emotet. Tip: Brug værktøjet til at finde en mulig infektion med kendte versioner af Emotet. Du bør dog være forsigtig! Da Emotet er polymorf, kan EmoCheck ikke garantere med 100 %'s sikkerhed, at din computer ikke er inficeret. EmoCheck bruger en metode til genkendelse af karakteristiske tegnstrenge og advarer dig på den måde om trojaneren. Malwarens evne til at ændre sig betyder imidlertid, at der ikke er nogen garanti for, at computeren rent faktisk er renset.
En sammenfatning af Emotet
Den trojanske hest Emotet er et af de farligste malwareprogrammer i informationsteknologiens historie. Alle kan rammes: privatpersoner, virksomheder og endda offentlige myndigheder. Når først trojaneren har infiltreret systemet, indlæser den yderligere malware, der skaffer sig adgang til adgangsoplysninger og krypterer data. Ofrene for malwareangrebet afpresses ofte og skal betale løsepenge for at få deres data tilbage. Desværre er der ingen løsning, der giver 100 % beskyttelse mod en infektion med Emotet. Ved at tage forskellige forholdsregler kan du imidlertid holde risikoen for infektion på et minimum. Hvis du har mistanke om, at din computer er inficeret med Emotet, skal du tage de ovenstående forholdsregler for at rense din computer og fjerne Emotet.
Disse sikkerhedsløsninger beskytter mod trojanere, vira og ransomware:
Relaterede artikler:
LockBit-ransomware – Alt, hvad du skal vide
Hvad er Emotet?
Kaspersky
