Proofpoint ziet terugkeer Emotet na afwezigheid van vijf maanden

proofpoint

Meer dan 160 dagen na de laatst geobserveerde verspreiding van Emotet via e-mail, hebben onderzoekers van Proofpoint de terugkeer ervan bevestigd. Emotet staat bekend als een veelzijdige en wijdverspreide bedreiging. De vroege versies van Emotet bevatten een module die werd gebruikt om bankfraude te plegen en de malware werd daardoor jarenlang grotendeels geclassificeerd als een bancaire trojan. 

Latere versies van Emotet laadden echter geen eigen bankmodule meer, maar malware van derden. De laatste tijd hebben we gezien dat Emotet payloads van derden levert, zoals Qbot, The Trick, IcedID en Gootkit. Daarnaast gebruikt Emotet modules voor spamming, het stelen van inloggegevens, het verzamelen van e-mails en verspreiding op lokale netwerken. 

Tot op heden heeft Proofpoint bijna een kwart miljoen Emotet-berichten waargenomen die op 17 juli 2020 werden verstuurd en het aantal blijft stijgen. De groep cybercriminelen, ook wel bekend als TA542, lijkt zich te richten op diverse branches in de Verenigde Staten en het Verenigd Koninkrijk met Engelstalige berichten. Deze berichten bevatten schadelijke Microsoft Word-bijlagen of URL's die linken naar Word-documenten De URL's verwijzen vaak naar gecompromitteerde WordPress-hosts. 

Net als eerder waargenomen berichten, zijn deze zeer eenvoudig, met slechts een minimum aan maatwerk. Onderwerpregels zoals "RE:", "Factuur #" gevolgd door een vals factuurnummer worden vaak gezien. Vaak wordt ook de naam van de organisatie die het doelwit is, vermeld. 

"Emotet staat erom bekend dat het veel problemen oplevert en het is veelzeggend dat we een nieuwe opleving zien. De desbetreffende groep criminelen, TA542, gebruikt vaak zijn metrische infrastructuur om het succes en de omvang van de campagne te testen, afhankelijk van wat er werkt", aldus Sherrod DeGrippo, Senior Director Threat Research and Detection bij Proofpoint. "Dat gezegd hebbende, de huidige grootschalige campagne lijkt geen test te zijn, maar het is ook niet geheel nieuw of innovatief. Ze waren 161 dagen afwezig en zijn teruggekeerd alsof er niets is gebeurd. De berichten zijn niet nieuw of ongewoon en er wordt geen gebruikgemaakt van actuele gebeurtenissen zoals COVID-19 of pandemie-thema's. Ze gebruiken ook hetzelfde botnet. We zullen Emotet blijven volgen en zien hoe de acties veranderen op basis van deze recente heropleving." 

Over Proofpoint 

Proofpoint, Inc. (NASDAQ: PFPT) is een toonaangevend cybersecurity-bedrijf dat de belangrijkste activa en grootste risico’s van organisaties beschermt: hun werknemers. Proofpoint helpt bedrijven over de hele wereld met zijn geïntegreerde suite van cloud-oplossingen om gerichte bedreigingen te stoppen, hun data te beschermen en hun gebruikers minder vatbaar te maken voor cyber-aanvallen. Toonaangevende organisaties van elke omvang, inclusief meer dan de helft van de Fortune 1000, vertrouwen op Proofpoints mensgerichte oplossingen voor security en compliance om hun belangrijkste security- en compliance-risico’s te beperken. Dit geldt voor e-mail, cloud, sociale media en het web. Meer informatie is beschikbaar op www.proofpoint.com

Lees ook
ESET publiceert het ESET Threat Report: Q2 2020

ESET publiceert het ESET Threat Report: Q2 2020

ESET publiceert haar Threat Report over Q2 2020, waarin belangrijke statistieken van ESET-detectiesystemen worden samengevat en opmerkelijke voorbeelden van ESET's cybersecurityonderzoek worden uitgelicht. Het Threat Report omvat tevens exclusieve, nog niet eerder verschenen ESET-onderzoeksupdates.

Onderzoek Cloud Security Alliance toont grote vraag naar CASB, extra scholing nodig om doelstellingen cloud-beveiliging te verduidelijken

Onderzoek Cloud Security Alliance toont grote vraag naar CASB, extra scholing nodig om doelstellingen cloud-beveiliging te verduidelijken

De Cloud Security Alliance (CSA) presenteert de resultaten van haar laatste onderzoeksrapport, The Evolution of the CASB. De CSA is een toonaangevende organisatie die standaarden, certificeringen en best practices definieert om een veilige cloud computing-omgeving te waarborgen. Aan het onderzoek deden meer dan tweehonderd IT- en beveiligingsprofessionals...

DSD Europe eerste die complete Acronis cloudportfolio direct vanuit reseller platform levert

DSD Europe eerste die complete Acronis cloudportfolio direct vanuit reseller platform levert

Als eerste in Europa stelt DSD Europe het complete Acronis cloudportfolio beschikbaar voor haar partners en levert de oplossingen, dankzij de API-koppeling, direct na aankoop vanuit het DSD-platform. Binnen één minuut ontvangt de reseller inloggegevens van de MSP-omgeving en kan de Acronis-oplossing voor de eindklant worden ingericht.