Vad är Emotet?
Emotet är en skadlig programvara som först användes som en banktrojan med målet att få åtkomst till utländska enheter och känsliga uppgifter. Emotet är känt för att kunna lura enklare typer av antivirusprogram. När den skadliga programvaran har tagit sig in i datorn sprider den sig som en datormask och försöker att komma åt övriga datorer i nätverket.
Emotet sprids framför allt via e-post. E-postmeddelande innehåller en skadlig länk eller infekterat dokument. När du hämtar dokumentet eller öppnar länken laddas den skadliga programvaran automatiskt ned till din dator. E-postmeddelandena ser trovärdiga ut och många har fallit offer för Emotet.
Emotet – term och definition
Emotet upptäcktes först i 2014 och drabbade tyska och österrikiska bankkunder. Emotet hade lyckats få åtkomst till bankkundernas inloggningsuppgifter och under de närmaste åren spreds viruset över världen.
Emotet utvecklades från en banktrojan till en trojanspridare, vilket är en trojan som överför den skadliga programvaran till andra enheter och orsakar stora problem i systemet.
Följande program brukar spridas på detta sätt:
- Trickster (även kallat TrickLoader and TrickBot) – banktrojaner som försöker få åtkomst till inloggningsuppgifter till bankkonton.
- Ryuk – krypteringstrojaner (även kallat kryptotrojan eller utpressingsvirus) som krypterar dina data så att du inte längre får åtkomst till dem eller hela systemet.
Målet med Emotet är oftast att pressa offren på pengar, till exempel genom att publicera eller dela de krypterade uppgifter som cyberbrottslingarna fått åtkomst till.
Vilka utsätts oftast för Emotet?
Emotet drabbar både privatpersoner, företag, organisationer och myndigheter. Under 2018 utsattes Fuerstenfeldbruck-sjukhuset i Tyskland för en Emotet-attack, vilket ledde till att de var tvungna att stänga av 450 datorer och logga ut från utryckningskontrollcentret för att bli av med viruset. I september 2019 utsattes hovrätten i Berlin för en attack och sedan i december samma år Giessen-universitetet. Även Hannover sjukhusuniversitet och statsförvaltningen i Frankfurt am Main har drabbats av Emotet.
Dessa är bara några få exempel. Den faktiska summan av utsatta företag tros vara betydligt högre. Troligtvis valde många företag att inte rapportera attacken för att inte riskera att få ett dåligt rykte.
Det bör nämnas att även om Emotet till en början inriktade sig på företag och organisationer, har angriparna ändrat fokus till privatpersoner.
Vilka enheter är sårbara för Emotet?
Tidigare gick det bara att upptäcka Emotet-attacken på de senaste versionerna av Microsoft Windows-operativsystemet. I början av 2019 hittades dock Emotet även på operativsystem från Apple. Bedragarna lurade sina offer med ett falskt e-postmeddelande som uppgavs vara från Apple-supporten. Mottagaren uppmanades att svara för att inte riskera få begränsad åtkomst till sitt konto. De uppmanades sedan att klicka på länken i meddelandet för att förhindra den påstådda inaktiveringen och raderingen av deras Apple-tjänster.
Hur sprider sig Emotet-trojaner?
Emotet sprider sig främst med så kallad Outlook-hämtning. Trojanen läser av e-postmeddelanden från redan angripna användare och skapar mycket verklighetstroget innehåll för att locka nya offer. Dessa e-postmeddelanden ser mer pålitliga ut än vanlig skräppost. Emotet skickar dessa nätfiskemeddelanden via e-post till sparade kontakter, vänner, familj och kollegor.
I de flesta fall sprids viruset med hjälp av ett infekterat dokument som mottagaren uppmanas att öppna via länken eller hämtning. Rätt namn visas som avsändare, vilket innebär att många tror att e-postmeddelandet är legitimt och i de flesta fall känner de därför sig lugna och använder den skadliga länken eller hämtningen.
Om Emotet får åtkomst till ditt nätverk kan det spridas. Trojan försöker komma åt kontolösenord med brute force-metoden Emotet sprids även via EternalBlue-kryphål och DoublePulsar-sårbarheter i Windows-system, där den skadliga programvaran installeras utan mänskligt ingripande. Vid utpressningsförsöken WannaCry 2017 användes EternalBlue-kryphål för att utföra cyberattacker som gjorde enorm skada.
Vilka ligger bakom Emotet?
Det tyska förbundskontoret för informationssäkerhet BSI misstänker att
"utvecklarna av Emotet erbjuder sin programvara och infrastrukturer till tredje part ".
De är även beroende av ytterligare skadlig programvara för att uppnå sina mål. BSI tror att brottslingarna är finansiellt motiverade och klassas därför som nätbrottslingar, inte som spioner. Det verkar dock oklart vem som faktiskt ligger bakom Emotet. Det har spekulerats om vem det kan vara, men det finns inga konkreta bevis.
Hur pass farligt är Emotet?
Enligt det amerikanska departementet för inrikessäkerhet (Department of Homeland Security) är Emotet är en mycket kostsam skadlig programvara som kan få enorma följder. Kostnaden efter attacken hamnar i genomsnitt på en miljon amerikanska dollar per incident. Arne Schoenbohm som är chef för BSI kallar Emotet för "kungen av skadlig programvara".
Emotet är utan tvekan en av de farligaste och mest avancerade skadliga programvarorna någonsin. Det är ett polymorfiskt virus vilket betyder att koden ändras något varje gång som den används.
Detta gör det svårare för antivirusprogrammen att upptäcka den eftersom de flesta bygger på signaturbaserade sökningar. I februari 2020 upptäckte Binary Search-forskare att Emotet även attackerade Wi-Fi-nätverk. Om en infekterad enhet ansluter till nätverket genomsöker Emotet samtliga trådlösa nätverk i närheten och försöker med hjälp av en lösenordslista att få åtkomst till nätverken och infektera andra enheter.
Cyberbrottslingarna utnyttjar gärna allmän oro. Det är därför inte konstigt att oron under coronakrisen har bidragit till att hot som Emotet har ökat sedan december 2019. Cyberbrottslingar använder gärna falska e-postmeddelanden med information om coronaviruset för att lura sina offer. Var därför extra försiktigt med att klicka på länkar eller hämta bilagor om du stöter på sådana e-postmeddelanden i din inkorg.
Hur skyddar jag mig emot Emotet?
Det räcker inte med antivirusprogram för att skydda sig emot Emotet och liknande trojaner. Första steget är att upptäckta det polymorfiska viruset. Det går dessvärre inte att skydda sig till 100 % not Emotet och andra typer av polymorfiska virus, men genom att vidta lämpliga organisatoriska och tekniska åtgärder går det att minskar risken för dem.
Här följer några tips på hur du skyddar verksamheten mot Emotet?
- Håll dig uppdaterad – håll koll på de senaste utvecklingarna angående Emotet. Du hittar den senaste informationen antingen via Kasperskys resurscenter eller liknande webbplatser.
- Säkerhetsuppdateringar – se till att installera tillverkarens uppdateringar så fort som möjligt för att minska risken för sårbarhet. Det gäller operativsystem som Windows och Mac OS såväl som program, webbläsare, webbläsartillägg, e-posttjänster, Office och PDF-program.
- Virusskydd – använd omfattande skydd mot virus och skadlig programvara som Kaspersky Internet Security och kontrollera eventuella sårbarheter i systemet regelbundet. Detta är det bästa sättet att skydda dig emot de senaste virusen, spionprogrammen m.m.
- Ladda aldrig ned tvivelaktiga bilagor i e-postmeddelanden eller klicka på misstänkta länkar. Om du är osäker på e-postmeddelande är det inte värt att utsätta sig för risker, utan kontakta avsändaren. Du ska aldrig kör makron eller hämta filer under uppmaning, utan radera filen omedelbart. På så sätt hinner kan Emotet inte tränga in i datorn.
- Säkerhetskopiera dina data regelbundet till en extern hårddisk. På så sätt har du alltid en kopia att falla tillbaka på om du skulle utsättas för en attack.
- Använd starka lösenord för alla inloggningar (banktjänster, e-postkonton och webbutiker). Använd alltså inte namnet på husdjuret utan välj en mer avancerade blandning av bokstäver, siffror och specialtecken. Skapa egna eller låt ett program skapa slumpmässiga åt dig. Många program använder sig även av tvåfaktorautentisering.
- Filtillägg – visa filtillägg som standard. På så sätt är det enklare att upptäcka misstänkta filer som "photo123.jpeg.exe", vilket oftast innebär skadlig programvara.
Hur blir jag av med Emotet?
Försök att inte gripas av panik om du misstänker att Emotet har tagit sig in i datorn. Informera dina närmaste kontakter eftersom de löper en risk för att bli infekterade.
Se till att isolera enheten för att förhindra att den sprider sig till andra i nätverket. Ändra sedan alla kontolösenord till e-postkonton, webbläsare m.m. Se dock till att göra detta på en annan enhet än den infekterade och i ett annat nätverk.
Emotet är ett polymorfiskt virus (koden ändras något varje gång som den används) och en rensad dator är därför sårbar för nya attacker om den är ansluten till ett infekterat nätverk. Rensa därför bort trojanen på samtliga anslutna datorer i nätverket – var för sig. Ta hjälp av ett antivirusprogram. Du kan även kontakta en expert som antivirusleverantör för att få hjälp och råd.
EmoCheck – hjälper detta verktyg mot Emotet?
Det japanska CERT-teamet (Computer Emergency Response Team) har utvecklat verktyget EmoCheck som sägs kunna kontrollera om datorn har utsatts för Emotet. I och med att Emotet är ett polymorfiskt virus finns det dock inga garantier för att din dator inte är har utsatts.
EmoCheck-verktyget identifierar typiska teckensträngar och varnar vid potentiella trojanattacker. Virusets föränderlighet gör det däremot svårt att avgöra om systemet är rensat från virus eller inte.
Slutord
Emotet-trojanen är en av de skadligaste programvarorna någonsin. Vem som helst kan drabbas, från privatpersoner och företag till globala myndigheter. När trojan har tagit sig in i systemet infekterar den datorn med andra spionprogram.
Många Emotet-offer pressas på pengar för att få tillbaka sina data. Det finns tyvärr inget 100-procentigt skydd emot Emotet-infektioner. Det går däremot att minska riskerna på ett flertal sätt.
Om du misstänker att datorn har drabbats av Emotet ska du vidta de åtgärder som beskrivs i den här artikeln för att rensa bort det från datorn och skydda datorn med en omfattande antiviruslösning som lösningar mot skadlig programvara från Kaspersky.
Relaterade artiklar: