Proofpoint ziet terugkeer Emotet na afwezigheid van vijf maanden

proofpoint

Meer dan 160 dagen na de laatst geobserveerde verspreiding van Emotet via e-mail, hebben onderzoekers van Proofpoint de terugkeer ervan bevestigd. Emotet staat bekend als een veelzijdige en wijdverspreide bedreiging. De vroege versies van Emotet bevatten een module die werd gebruikt om bankfraude te plegen en de malware werd daardoor jarenlang grotendeels geclassificeerd als een bancaire trojan. 

Latere versies van Emotet laadden echter geen eigen bankmodule meer, maar malware van derden. De laatste tijd hebben we gezien dat Emotet payloads van derden levert, zoals Qbot, The Trick, IcedID en Gootkit. Daarnaast gebruikt Emotet modules voor spamming, het stelen van inloggegevens, het verzamelen van e-mails en verspreiding op lokale netwerken. 

Tot op heden heeft Proofpoint bijna een kwart miljoen Emotet-berichten waargenomen die op 17 juli 2020 werden verstuurd en het aantal blijft stijgen. De groep cybercriminelen, ook wel bekend als TA542, lijkt zich te richten op diverse branches in de Verenigde Staten en het Verenigd Koninkrijk met Engelstalige berichten. Deze berichten bevatten schadelijke Microsoft Word-bijlagen of URL's die linken naar Word-documenten De URL's verwijzen vaak naar gecompromitteerde WordPress-hosts. 

Net als eerder waargenomen berichten, zijn deze zeer eenvoudig, met slechts een minimum aan maatwerk. Onderwerpregels zoals "RE:", "Factuur #" gevolgd door een vals factuurnummer worden vaak gezien. Vaak wordt ook de naam van de organisatie die het doelwit is, vermeld. 

"Emotet staat erom bekend dat het veel problemen oplevert en het is veelzeggend dat we een nieuwe opleving zien. De desbetreffende groep criminelen, TA542, gebruikt vaak zijn metrische infrastructuur om het succes en de omvang van de campagne te testen, afhankelijk van wat er werkt", aldus Sherrod DeGrippo, Senior Director Threat Research and Detection bij Proofpoint. "Dat gezegd hebbende, de huidige grootschalige campagne lijkt geen test te zijn, maar het is ook niet geheel nieuw of innovatief. Ze waren 161 dagen afwezig en zijn teruggekeerd alsof er niets is gebeurd. De berichten zijn niet nieuw of ongewoon en er wordt geen gebruikgemaakt van actuele gebeurtenissen zoals COVID-19 of pandemie-thema's. Ze gebruiken ook hetzelfde botnet. We zullen Emotet blijven volgen en zien hoe de acties veranderen op basis van deze recente heropleving." 

Over Proofpoint 

Proofpoint, Inc. (NASDAQ: PFPT) is een toonaangevend cybersecurity-bedrijf dat de belangrijkste activa en grootste risico’s van organisaties beschermt: hun werknemers. Proofpoint helpt bedrijven over de hele wereld met zijn geïntegreerde suite van cloud-oplossingen om gerichte bedreigingen te stoppen, hun data te beschermen en hun gebruikers minder vatbaar te maken voor cyber-aanvallen. Toonaangevende organisaties van elke omvang, inclusief meer dan de helft van de Fortune 1000, vertrouwen op Proofpoints mensgerichte oplossingen voor security en compliance om hun belangrijkste security- en compliance-risico’s te beperken. Dit geldt voor e-mail, cloud, sociale media en het web. Meer informatie is beschikbaar op www.proofpoint.com

Lees ook
TA866 keert terug in grootschalige e-mailcampagne

TA866 keert terug in grootschalige e-mailcampagne

Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.

Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's

Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's

Cloudflare heeft het API Security & Management Report gepubliceerd. Dit rapport onthult dat API's meer dan ooit worden ingezet, waardoor bedrijven de deur wijd openzetten voor meer online bedreigingen dan we eerder hebben meegemaakt. Het rapport maakt inzichtelijk dat er een kloof bestaat tussen het gebruik van API’s door bedrijven en hun vermogen om...

Dreigingsactor 'BattleRoyal' gebruikt DarkGate-malware voor cybercriminele doeleinden

Dreigingsactor 'BattleRoyal' gebruikt DarkGate-malware voor cybercriminele doeleinden

Onderzoekers van cybersecuritybedrijf Proofpoint publiceren vandaag onderzoek over de activiteiten van dreigingsactor 'Battle Royal'. Deze actor gebruikt DarkGate- en NetSupport-malware om controle te krijgen over geïnfecteerde hosts via meerdere verschillende aanvalsketens en social engineering technieken.