Emotet: Hvordan gjenkjenne og beskytte deg mot den trojanske hesten

Emotet er skadelig programvare som opprinnelig ble utviklet som en banktrojaner. Målet var å trenge gjennom andres enheter og spionere ut sensitive private data. Emotet er i stand til å lure og gjemme seg fra vanlige antivirusprogrammer. Når enheten er infisert, sprer den skadelige programvaren seg som en dataorm for å infiltrere andre datamaskiner i nettverket.

Emotet sprer seg hovedsakelig via søppel-e-post. E-posten inneholder en skadelig kobling eller et infisert dokument som inneholder aktiverte makroer. Hvis du laster ned dokumentet eller åpner koblingen, blir skadelig programvare lastet ned til datamaskinen automatisk. E-postene ser veldig autentiske ut.

Begrepet Emotet

Emotet ble først oppdaget i 2014 kunder i tyske og østerrikske banker ble berørt av trojaneren. Emotet hadde fått tilgang til kundenes påloggingsdata. I årene som fulgte, spredte den skadelige programvaren seg over hele verden.

Siden den gang har Emotet utviklet seg fra en banktrojaner til en dropper, noe som betyr at trojaneren laster inn skadelig programvare. Den skadelige programvaren står da bak de faktiske skadene på systemet. I de fleste tilfeller ble følgende programmer involvert:

Trickbot: en banktrojaner som forsøker å få tilgang til påloggingsinformasjonen til bankkontoer.
Ryuk: En krypteringstrojaner – også kjent som en kryptotrojaner eller løsepengevirus – krypterer data, og hindrer dermed brukeren av datamaskinen i å få tilgang til dataene, eller låser hele systemet.

Målet til de nettkriminelle bak Emotet er ofte å utpresse ofrene for penger. For eksempel truer de med å publisere de krypterte dataene eller aldri slippe dem ut igjen. Vanligvis innebærer Emotet den komplette infeksjonsprosessen, ytterligere nedlasting av skadelig programvare og distribusjon av den.

Hvem blir målrettet av Emotet?

Privatpersoner, selskaper, organisasjoner og offentlige myndigheter. I 2018 måtte det kliniske senteret Fürstenfeldbruck stenge ned 450 datamaskiner og logge seg av fra nødsamordningssentralen etter å ha blitt smittet med Emotet. I september 2019 ble for eksempel lagmannsretten i Berlin i Kammergericht berørt, etterfulgt av Universitetet i Giessen i desember 2019.

Den medisinske høyskolen i Hannover og byadministrasjonen i Frankfurt am Main ble også infisert av Emotet. Antall selskaper som er berørt, anslås å være mye høyere. Det antas at mange smittede selskaper ikke ønsker å rapportere om en infeksjon av frykt for sitt rykte og for ytterligere angrep.

Mens det i begynnelsen av Emotet hovedsakelig var selskaper som ble målrettet, retter trojaneren seg nå først og fremst mot privatpersoner.

Hvilke enheter er utsatt for Emotet?

Opprinnelig ble infeksjon med Emotet bare oppdaget i mer moderne versjoner av Microsofts Windows-operativsystem. Tidlig i 2019 ble det imidlertid avslørt at datamaskiner laget av Apple også ble påvirket av Emotet. Gjerningsmennene lokket brukere i en felle med en falsk e-post fra Apples kundestøtte, og hevdet at selskapet hadde «begrenset tilgang til kundekontoen din». E-posten bad også brukerne om å følge en lenke for å forhindre deaktivering og sletting av visse Apple-tjenester.

Hvordan Emotet-trojaneren sprer seg

Emotet spres hovedsakelig via såkalt Outlook-innsamling. Trojanen leser e-post fra allerede berørte brukere og skaper innhold som ser forbausende ekte ut. Disse e-postene fremstår autentiske og personlige, og skiller seg ut fra vanlige spam-e-poster. Emotet videresender disse nettfiskings-e-postene til lagrede kontakter, dvs. venner, familiemedlemmer, arbeidskollegaer eller sjefen din.

E-postene inneholder vanligvis et infisert Word-dokument som må lastes ned, eller en farlig lenke. Det riktige navnet vises alltid som avsender. Mottakerne blir dermed gitt en falsk følelse av sikkerhet, siden alt ser ut som en vanlig, personlig e-post fra deg, og klikker derfor mest sannsynlig på den farlige lenken eller det infiserte vedlegget.

Emotet kan spre seg lenger når det har tilgang til et nettverk. Ved å gjøre det prøver den å bruke brute-force-metoden for å knekke passordene til kontoene dine. Andre måter Emotet har spredd seg på, omfatter EternalBlue-utnyttelsen og DoublePulsar-svakheten i Windows, som tillot at skadelig programvare ble installert uten menneskelig inngripen. I 2017 ble utpressingstrojaneren WannaCry i stand til å utnytte EternalBlue-utnyttelsen til et alvorlig cyberangrep og skapte kaos.

Emotet: Infrastruktur for skadelig programvare knust

I slutten av januar 2021 kunngjorde Statsadvokatkontoret i Frankfurt am Main – hovedkontoret for bekjempelse av internettkriminalitet (CIT) – og Federal Criminal Office (FCO) at Emotets infrastruktur hadde blitt «overtatt og knust» som en del av en samordnet internasjonal innsats. Rettshåndhevelsesbyråer fra Tyskland, Nederland, Ukraina, Frankrike og Litauen samt Storbritannia, Canada og USA var involvert i operasjonen.

Byråene hevder at de var i stand til å deaktivere mer enn 100 servere av Emotet-infrastrukturen, 17 av dem bare i Tyskland. Disse representerte begynnelsen. FCO hadde samlet inn data og etter nærmere analyse lokalisert flere servere i hele Europa.

Ifølge FCO ble infrastrukturen til den skadelige Emotet-programvaren knust og ufarliggjort. Myndighetene i Ukraina var i stand til å overta infrastrukturen, og også beslaglegge flere datamaskiner, harddisker, penger og gullbarrer. Hele operasjonen ble koordinert av Europol og Eurojust, EU-byrået for rettslig samarbeid i straffesaker.

Ved å ta kontroll over Emotets infrastruktur klarte myndighetene å gjøre den skadelige programvaren på de berørte tyske offersystemene ubrukelig for gjerningsmennene. For å hindre dem i å gjenvinne kontrollen satte innsatsgruppen den skadelige programvaren på de berørte offersystemene i karantene. I tillegg justerte de kommunikasjonsparametere for programvaren slik at den kunne kommunisere med en spesialoppsatt infrastruktur utelukkende for å sikre bevis. I prosessen innhentet myndighetene informasjon om de berørte offersystemene, som f.eks. offentlige IP-adresser. Disse ble overført til BSI.

Hvem står bak Emotet?

Federal Office for Information Security (FIS) mener at «utviklerne av Emotet fremleier programvaren og infrastrukturen til tredjeparter». De brukte på sin side ytterligere skadelig programvare for å forfølge sine egne mål. BSI er av den oppfatning at de kriminelle motivene er av økonomisk karakter, og at nettkriminalitet er saken snarere enn spionasje.

Ingen ser ut til å ha svar på spørsmålet om hvem som står bak. Ryktene er at den stammer fra Russland eller Øst-Europa, men det er ingen gode bevis som støtter dette.

Emotet: Svært destruktiv skadelig programvare

US Department of Homeland Security konkluderte med at Emotet er en spesielt kostbar programvare med enorm destruktiv kraft. Kostnadene knyttet til oppryddingen i etterkant er anslått å ligge på rundt én million amerikanske dollar per hendelse. Det er av denne grunn at Arne Schönbohm, leder av Federal Office for Information Security (FIS), kaller Emotet for «kongen av skadelig programvare».

Emotet er uten tvil blant de mest komplekse og farlige typene skadelig programvare i historien. Den skadelige programvaren er polymorf, noe som betyr at koden endrer seg litt hver gang den undersøkes. Det gjør det vanskelig for antivirusprogramvare å identifisere skadelig programvare, siden mange antivirusprogrammer utfører signaturbaserte søk. I februar 2020 oppdaget sikkerhetsforskere fra Binary Search at Emotet nå også angriper Wi-Fi-nettverk. Hvis en infisert enhet er koblet til et trådløst nettverk, skanner Emotet alle trådløse nettverk i nærheten. Ved hjelp av en passordliste prøver skadelig programvare deretter å få tilgang til nettverkene og dermed infisere andre enheter.

Nettkriminelle liker å utnytte frykt i befolkningen. Derfor er det ikke overraskende at frykten for COVID-19, som har spredd seg over hele verden siden desember 2019, også utnyttes av Emotet. Nettkriminelle bak trojaneren forfalsker ofte e-postmeldinger som hevder å gi informasjon om COVID-19 og skal opplyse befolkningen. Hvis du ser en slik e-post i innboksen din, bør du derfor være spesielt forsiktig med eventuelle vedlegg eller koblinger i meldingen!

Hvordan kan jeg beskytte meg mot Emotet?

Når det gjelder beskyttelse mot Emotet og andre trojanere, er det ikke tilstrekkelig å basere seg utelukkende på antivirusprogrammer. Tross alt er bare det å oppdage den polymorfe skadelige programvaren bare første problemet for sluttbrukere. Ganske enkelt er det ingen løsning som gir 100 % beskyttelse mot Emotet eller andre trojanere som kan forandres. Forebyggende organisatoriske og tekniske tiltak alene kan minimere risikoen for smitte. Dette er forholdsreglene du bør ta for å beskytte deg mot Emotet:

Hold deg oppdatert! Hold deg regelmessig informert om utviklingen rundt emnet Emotet. Det er flere måter å gjøre dette på, for eksempel BSI-nyhetsbrevet, vårt nyhetsbrev fra Kaspersky, eller ved å gjøre dine egne undersøkelser.
Sikkerhetsoppdateringer: Sørg for å installere oppdateringer levert av produsenter så snart som mulig for å eliminere sikkerhetsproblemer. Dette gjelder operativsystemer som Windows og macOS, i tillegg til alle programmer, nettlesere, tillegg til nettlesere, e-postklienter, Office- og PDF-programmer.
Antivirus-programvare: Sørg for å installere et antivirusprogram som Kaspersky Internet Security, og bruk det til å skanne datamaskinen regelmessig med tanke på svakheter. Dette vil gi deg best mulig beskyttelse mot de nyeste virusene, spionprogramvare og andre nettrusler.
Ikke last ned tvilsomme vedlegg eller klikk på mistenkelige koblinger i e-poster. Hvis du er usikker på om en e-post er falsk, må du ikke ta noen risiko – kontakt den angivelige avsenderen! Hvis du blir bedt om å tillate utførelse av en makro når du laster ned en fil, så ikke gjør det under noen omstendighet. I stedet sletter du filen umiddelbart. På denne måten gir du ikke Emotet en sjanse til å komme inn på datamaskinen din i utgangspunktet.
Sikkerhetskopiering: Sikkerhetskopier dataene dine regelmessig på en ekstern dataenhet. Ved en eventuell infeksjon vil du alltid ha en sikkerhetskopi å falle tilbake på, slik at du ikke ha mistet alle dataene på PC-en din.
Passord: Bruk bare sterke passord til alle pålogginger (nettbank, e-postkonto, nettbutikker). Bruk derfor ikke navnet på din første hund, men heller en tilfeldig blanding av bokstaver, tall og spesialtegn. Du kan enten finne på disse selv eller få dem generert ved hjelp av programmer som passordbehandlere. I tillegg tilbyr mange programmer nå valget tofaktorautentisering.
Filetternavn: Forsikre deg om at filetternavnene vises på datamaskinen din som standard. Dette vil hjelpe deg å gjenkjenne tvilsomme filer som «Vacation snap123.jpg.exe».

Hvordan kan jeg fjerne Emotet?

Først og fremst: Ikke få panikk hvis du mistenker at PC-en din kan være infisert med Emotet! Informer dem rundt deg om infeksjonen, ettersom e-postkontaktene dine og andre enheter som er koblet til nettverket ditt, også potensielt er i fare.

Deretter må du isolere datamaskinen din hvis den er koblet til et nettverk, for å redusere risikoen for at Emotet sprer seg. Du bør da endre alle tilgangsdata til kontoene dine, dvs. e-postkontoer, nettlesere osv.

Siden den skadelige Emotet-programvaren er polymorf og koden alltid endres litt hver gang den blir brukt, kan en rengjort datamaskin raskt infiseres så snart den er koblet til et infisert nettverk. Du må derfor rense alle datamaskinene som er koblet til nettverket, én etter én. Bruk et antivirusprogram for å gjøre dette. Du kan også kontakte en spesialist, for eksempel leverandøren av antivirusprogramvaren.

EmoCheck: Hjelper verktøyet virkelig mot Emotet?

Datakriseteamet i Japan (CERT) har publisert verktøyet EmoCheck, som du kan bruke til å kontrollere om datamaskinen din er infisert av Emotet. Tips: Bruk verktøyet til å oppdage en mulig infeksjon av kjente versjoner av Emotet. Vær imidlertid forsiktig! Ettersom Emotet er polymorft, kan imidlertid selv ikke EmoCheck garantere med 100 prosent sikkerhet at datamaskinen din ikke er infisert. EmoCheck bruker en metode for å gjenkjenne karakteristiske tegnstrenger og advarer deg dermed om trojaneren. Utskiftbarheten til skadelig programvare betyr imidlertid at det ikke er noen garanti for at datamaskinen din er virkelig ren.

Et sammendrag av Emotet

Emotet-trojaneren er et av de farligste skadelige programmene i IT-historien. Alle er berørt: privatpersoner, selskaper og til og med offentlige myndigheter. Når trojaneren har infiltrert systemet, laster den inn annen skadelig programvare som spionerer på tilgangsinformasjon og krypterer data. Ofte blir ofrene for skadelig programvare presset for løsepenger for å få tilbake dataene. Det finnes dessverre ingen løsning som gir 100 prosent beskyttelse mot Emotet. Men ved å ta forskjellige tiltak kan du holde infeksjonsrisikoen lav. Hvis du mistenker at datamaskinen din er infisert med Emotet, bør du sette i gang ovennevnte tiltak for å rense datamaskinen for Emotet.