Proofpoint ziet terugkeer Emotet na afwezigheid van vijf maanden

Meer dan 160 dagen na de laatst geobserveerde verspreiding van Emotet via e-mail, hebben onderzoekers van Proofpoint de terugkeer ervan bevestigd. Emotet staat bekend als een veelzijdige en wijdverspreide bedreiging. De vroege versies van Emotet bevatten een module die werd gebruikt om bankfraude te plegen en de malware werd daardoor jarenlang grotendeels geclassificeerd als een bancaire trojan. 

Latere versies van Emotet laadden echter geen eigen bankmodule meer, maar malware van derden. De laatste tijd hebben we gezien dat Emotet payloads van derden levert, zoals Qbot, The Trick, IcedID en Gootkit. Daarnaast gebruikt Emotet modules voor spamming, het stelen van inloggegevens, het verzamelen van e-mails en verspreiding op lokale netwerken. 

Tot op heden heeft Proofpoint bijna een kwart miljoen Emotet-berichten waargenomen die op 17 juli 2020 werden verstuurd en het aantal blijft stijgen. De groep cybercriminelen, ook wel bekend als TA542, lijkt zich te richten op diverse branches in de Verenigde Staten en het Verenigd Koninkrijk met Engelstalige berichten. Deze berichten bevatten schadelijke Microsoft Word-bijlagen of URL's die linken naar Word-documenten De URL's verwijzen vaak naar gecompromitteerde WordPress-hosts. 

Net als eerder waargenomen berichten, zijn deze zeer eenvoudig, met slechts een minimum aan maatwerk. Onderwerpregels zoals "RE:", "Factuur #" gevolgd door een vals factuurnummer worden vaak gezien. Vaak wordt ook de naam van de organisatie die het doelwit is, vermeld. 

"Emotet staat erom bekend dat het veel problemen oplevert en het is veelzeggend dat we een nieuwe opleving zien. De desbetreffende groep criminelen, TA542, gebruikt vaak zijn metrische infrastructuur om het succes en de omvang van de campagne te testen, afhankelijk van wat er werkt", aldus Sherrod DeGrippo, Senior Director Threat Research and Detection bij Proofpoint. "Dat gezegd hebbende, de huidige grootschalige campagne lijkt geen test te zijn, maar het is ook niet geheel nieuw of innovatief. Ze waren 161 dagen afwezig en zijn teruggekeerd alsof er niets is gebeurd. De berichten zijn niet nieuw of ongewoon en er wordt geen gebruikgemaakt van actuele gebeurtenissen zoals COVID-19 of pandemie-thema's. Ze gebruiken ook hetzelfde botnet. We zullen Emotet blijven volgen en zien hoe de acties veranderen op basis van deze recente heropleving." 

Over Proofpoint 

Proofpoint, Inc. (NASDAQ: PFPT) is een toonaangevend cybersecurity-bedrijf dat de belangrijkste activa en grootste risico’s van organisaties beschermt: hun werknemers. Proofpoint helpt bedrijven over de hele wereld met zijn geïntegreerde suite van cloud-oplossingen om gerichte bedreigingen te stoppen, hun data te beschermen en hun gebruikers minder vatbaar te maken voor cyber-aanvallen. Toonaangevende organisaties van elke omvang, inclusief meer dan de helft van de Fortune 1000, vertrouwen op Proofpoints mensgerichte oplossingen voor security en compliance om hun belangrijkste security- en compliance-risico’s te beperken. Dit geldt voor e-mail, cloud, sociale media en het web. Meer informatie is beschikbaar op www.proofpoint.com.