Emotet: Slik beskytter du deg best mulig mot trojaneren

Hva er Emotet?

Emotet er en skadelig programvare som opprinnelig ble utviklet som en banktjenestetrojaner. Målet var å få tilgang til fremmede enheter og spionere på sensitive personopplysninger. Emotet har vist seg å kunne lure grunnleggende antivirusprogrammer og gjemme seg for dem. Når infeksjonen er et faktum, sprer den skadelige programvaren seg som en dataorm for å infiltrere andre datamaskiner i nettverket.

Emotet sprer seg hovedsakelig via søppel-e-post. E-posten inneholder en skadelig kobling eller et infisert dokument. Hvis du laster ned dokumentet eller åpner koblingen, blir skadelig programvare lastet ned til datamaskinen automatisk. Disse e-postene er utformet for å se svært ekte ut, og mange har blitt offer for Emotet.

Emotet – begrep og definisjon

Emotet ble først oppdaget i 2014, da kunder i tyske og østerrikske banker ble berørt av trojaneren. Emotet hadde fått tilgang til kundenes påloggingsinformasjon. I løpet av de neste årene spredde viruset seg over hele verden.

Emotet utviklet seg fra en banktjenestetrojaner til en dropper, som betyr at trojaneren laster inn skadelig programvare på enheter. Denne programvaren står da bak de faktiske skadene på systemet.

I de fleste tilfeller ble følgende programmer «droppet»:

• Trickster (også kjent som TrickLoader og TrickBot): en banktjenestetrojaner som forsøker å få tilgang til påloggingsinformasjonen til bankkontoer.
• Ryuk: en krypteringstrojaner – også kjent som en kryptotrojaner eller et løsepengevirus – krypterer data og blokkerer dermed tilgangen til disse dataene eller hele systemet for brukeren av datamaskinen.

Målet til de nettkriminelle bak Emotet er ofte å utpresse ofrene for penger. De truer for eksempel med å publisere eller offentliggjøre de krypterte dataene de får tilgang til.

Hvem er Emotet rettet mot?

Emotet har privatpersoner som mål, i tillegg til selskaper, organisasjoner og myndigheter. Etter å ha blitt infisert med Emotet i 2018 måtte Fürstenfeldbruck sykehus i Tyskland slå av 450 datamaskiner og logge av redningskontrollsenteret i et forsøk på å få infeksjonen under kontroll. I september 2019 ble Berlins ankedomstol berørt, og deretter universitetet i Giessen i desember 2019. Den medisinske høyskolen i Hannover og byadministrasjonen i Frankfurt am Main ble også infisert av Emotet.

Dette er bare noen få eksempler på Emotet-infeksjoner. Antallet berørte selskaper er ikke kjent, men er antatt å være mye høyere. Det antas også at mange infiserte selskaper ikke ønsket å rapportere sikkerhetsbruddet av frykt for at det vil skade omdømmet deres.

Det er også verdt å merke seg å at selv om Emotet hovedsakelig var rettet mot selskaper og organisasjoner i begynnelsen, har trojaneren nå primært privatpersoner som mål.

Hvilke enheter er utsatt for Emotet?

Til å begynne med ble Emotet-infeksjoner bare påvist på nyere versjoner av Microsoft Windows-operativsystemet. I begynnelsen av 2019 ble det imidlertid kjent at datamaskiner fra Apple også var berørt av Emotet. De kriminelle lokket brukerne i en felle med en falsk e-post fra Apples kundestøtte. Den hevdet at selskapet kom til å begrense tilgangen til mottakerens konto hvis man ikke svarte. Ofrene ble bedt om å klikke på en kobling for å forhindre at Apple-tjenestene deres ble deaktivert og slettet.

Hvordan spres Emotet-trojaneren?

Emotet spres hovedsakelig via såkalt Outlook-innsamling. Trojaneren leser e-post fra brukere som allerede er berørt, og lager svært virkelighetsnært innhold. Disse e-postene ser ut til å være ekte og personlige og skiller seg dermed ut fra vanlig søppelpost. Emotet sender disse phishing-e-postene til lagrede kontakter, som venner, familie og kolleger.

Vanligvis inneholder e-postene et infisert Word-dokument som mottakeren blir bedt om å laste ned, eller en skadelig kobling. Det riktige navnet vises alltid som avsender. Derfor tror mottakerne at det er trygt: Alt tyder på at e-posten er ekte. Deretter (i de fleste tilfeller) klikker de på den skadelige koblingen eller laster ned det infiserte vedlegget.

Når Emotet har fått tilgang til et nettverk, kan det spre seg. Samtidig prøver det å knekke passord til kontoer via direkte angrep. Andre måter Emotet har spredd seg på, omfatter EternalBlue-utnyttelsen og DoublePulsar-svakheten i Windows, som tillot at skadelig programvare ble installert uten menneskelig inngripen. I 2017 klarte utpressingstrojaneren WannaCry å ta i bruk EternalBlue-utnyttelsen i et stort nettangrep som gjorde enorm skade.

Hvem står bak Emotet?

Den tyske fagmyndigheten for IKT-sikkerhet (BSI) mener at

«utviklerne bak Emotet fremleier programvaren og infrastrukturen til tredjeparter».

De baserer seg også på annen skadelig programvare for å oppnå egne mål. BSI mener at de kriminelle er økonomisk motivert, og anser det derfor for å være nettkriminalitet og ikke spionasje. Det er likevel ingen som har et tydelig svar på akkurat hvem som står bak Emotet. Det svirrer diverse rykter rundt opprinnelseslandene, men det finnes ingen pålitelige bevis.

Hvor farlig er Emotet?

Det amerikanske sikkerhetsdepartementet konkluderte med at Emotet er en spesielt kostbar programvare med enorm ødeleggelseskraft. Kostnadene knyttet til oppryddingen i etterkant er anslått å ligge på rundt én million amerikanske dollar per hendelse. Derfor kaller Arne Schönbohm, leder for den tyske fagmyndigheten for IKT-sikkerhet (BSI), Emotet for «kongen av skadelig programvare».

Emotet er uten tvil blant de mest komplekse og farlige typene skadelig programvare i historien. Viruset er polymorft, noe som betyr at koden endrer seg litt hver gang den undersøkes.

Det gjør det vanskelig for antivirusprogramvare å identifisere viruset: Mange antivirusprogrammer utfører signaturbaserte søk. I februar 2020 oppdaget sikkerhetsforskere fra Binary Search at Emotet nå også angriper Wi-Fi-nettverk. Hvis en infisert enhet er koblet til et trådløst nettverk, skanner Emotet alle trådløse nettverk i nærheten. Deretter bruker viruset en passordliste for å prøve å få tilgang til nettverkene og dermed infisere andre enheter.

Nettkriminelle liker å utnytte frykt blant befolkningen. Derfor er det ikke overraskende at frykten for koronaviruset, som har spredd seg over hele verden siden desember 2019, også utnyttes av Emotet. De nettkriminelle bak trojaneren forfalsker ofte e-poster som skal spre informasjon om koronaviruset og utdanne befolkningen. Hvis du ser en slik e-post i innboksen din, bør du derfor være spesielt forsiktig med eventuelle vedlegg eller koblinger i e-posten.

Hvordan kan jeg beskytte meg mot Emotet?

Når du skal beskytte deg mot Emotet og andre trojanere, er det ikke tilstrekkelig å basere seg utelukkende på antivirusprogrammer. Det å oppdage det polymorfe viruset er bare første skritt for sluttbrukere. Det finnes rett og slett ingen løsning som gir 100 prosent beskyttelse mot Emotet eller andre trojanere som stadig endrer seg. Det er bare ved å iverksette tekniske tiltak og tiltak på organisasjonsnivå at du kan redusere faren for infeksjon til et minimum.

Her er noen tips for å beskytte deg mot Emotet:

• Hold deg oppdatert. Oppsøk informasjon om de nyeste utviklingene knyttet til Emotet jevnlig. Det finnes flere måter å gjøre dette på, blant annet å lese på Kasperskys ressurssenter eller å gjøre egne undersøkelser.
• Sikkerhetsoppdateringer: Det er avgjørende at du installerer oppdateringer fra produsenter så raskt som mulig for å tette igjen potensielle sikkerhetshull. Dette gjelder både for operativsystemer som Windows og macOS og for alle programmer, nettlesere, nettlesertillegg, e-postklienter, Office og PDF-programmer.
• Virusbeskyttelse: Sørg for å installere et program som gir komplett beskyttelse mot virus og skadelig programvare, som Kaspersky Internet Security, og bruk det til å skanne datamaskinen regelmessig med tanke på svakheter. Det gir deg best mulig beskyttelse mot de nyeste virusene, spionprogramvare osv.
• Ikke last ned tvilsomme vedlegg eller klikk på mistenkelige koblinger i e-poster. Hvis du er usikker på om en e-post er falsk, må du ikke ta noen risiko, men kontakte avsenderen. Hvis du blir bedt om å tillate at det kjøres en makro på en nedlastet fil, må du ikke under noen omstendighet tillate dette, men slette filen umiddelbart. På denne måten gir du ikke Emotet noen sjanse til å få tilgang til datamaskinen din.
• Sikkerhetskopier dataene dine regelmessig til en ekstern lagringsenhet. Ved en eventuell infeksjon vil du alltid ha en sikkerhetskopi å falle tilbake på, slik at du ikke mister alle dataene på enheten din.
• Bruk bare sterke passord til alle pålogginger (nettbank, e-postkonto, nettbutikker). Det betyr at du ikke bør bruke navnet på din første hund, men en tilfeldig kombinasjon av bokstaver, tall og spesialtegn. Du kan enten finne på disse selv eller bruke ulike programmer til å generere dem. I tillegg tilbyr mange programmer i dag tofaktorautentisering.
• Filtyper: Angi at datamaskinen din skal vise filtyper som standard. Det gjør det enklere å oppdage tvilsomme filer som «Photo123.jpg.exe», som ofte er skadelige programmer.

Hvordan kan jeg fjerne Emotet?

Ikke få panikk hvis du mistenker at PC-en din er infisert med Emotet. Informer omgangskretsen din om infeksjonen, siden e-postkontaktene dine kan være utsatt.

Deretter må du isolere datamaskinen din hvis den er koblet til et nettverk, for å redusere risikoen for at Emotet sprer seg. Så må du endre påloggingsinformasjonen til alle kontoene dine (e-postkontoer, nettlesere osv.) Gjør dette på en separat enhet som ikke er infisert eller koblet til samme nettverk.

Ettersom Emotet er polymorft (som vil si at koden endres litt hver gang den undersøkes), kan en renset datamaskin raskt infiseres på nytt hvis den er koblet til et infisert nettverk. Derfor må du rense alle datamaskinene som er koblet til nettverket, én etter én. Bruk et antivirusprogram for å få hjelp til dette. Du kan også kontakte en spesialist, for eksempel leverandøren av antivirusprogramvaren din, for å få veiledning og hjelp.

EmoCheck: Hjelper verktøyet virkelig mot Emotet?

Datakriseteamet i Japan (CERT) har publisert et verktøy som kalles EmoCheck, som hevder at det kan brukes til å kontrollere om datamaskinen din er infisert med Emotet. Ettersom Emotet er polymorft, kan EmoCheck imidlertid ikke garantere med 100 prosent sikkerhet at datamaskinen din ikke er infisert.

Det EmoCheck gjør, er å oppdage typiske tegnstrenger og advare deg mot en potensiell trojaner. Virusets evne til å endre seg betyr imidlertid at det ikke kan garanteres at datamaskinen din virkelig er trygg, noe som er verdt å ha i bakhodet.

Noen betraktninger til slutt

Trojaneren Emotet er en av de farligste typene skadelig programvare i historien. Hvem som helst kan bli et offer – privatpersoner, selskaper og til og med internasjonale myndigheter. Når trojaneren har infiltrert et system, laster det inn annen skadelig programvare som spionerer på deg.

Mange av ofrene for Emotet blir presset til å betale løsepenger for å få tilbake dataene. Det finnes dessverre ingen løsning som gir 100 prosent beskyttelse mot Emotet. Det finnes imidlertid flere tiltak som kan redusere faren for infeksjon.

Hvis du har mistanke om at datamaskinen din er infisert med Emotet, bør du iverksette tiltakene i denne artikkelen for å rense datamaskinen og sørge for at du er beskyttet med en omfattende antivirusløsning, som Kasperskys løsninger mot skadelig programvare.

Relaterte artikler:

• Hva er et trojansk virus?
• Hva er WannaCry løsepengevirus?
• Hva er de ulike typene løsepengevirus?
• Tips om hvordan man forhindrer angrep fra løsepengevirus