Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Computers in Emotet-botnet krijgen op 25 april automatisch een schoonmaakupdate

Computers die geïnfecteerd zijn met de Emotet-malware krijgen vanaf 25 april een update doorgevoerd waarmee de malware wordt verwijderd. In Duitsland zijn ondertussen providers al begonnen met het waarschuwen van slachtoffers.

Het gaat om een update voor computers die in het Emotet-botnet werden opgenomen. Emotet is beruchte malware die computers in een botnet opneemt, en die vervolgens toegang aan ransomwaremakers of andere cybercriminelen verkoopt. De malware-as-a-service werd eerder deze week offline gehaald. Dat gebeurde onder andere door de Nederlandse politie. Die waren twee van de drie hoofdservers binnengedrongen nadat bleek dat die in Nederland stonden. De politie zei toen al een dergelijke update te willen installeren.

Volgens ZDnet komt die update definitief op 25 april, om 12:00 lokale tijd. De update wordt verstuurd vanaf de command-and-control-servers die de Nederlandse politie heeft overgenomen. Bedrijven kunnen tot die tijd kijken of Emotet nog op hun systemen staan, maar ook om te zien of toegang tot die achterdeur aan anderen is verkocht. De meeste ransomware slaat tegenwoordig vaak pas toe na weken of maanden onopgemerkt te blijven in het netwerk.

Tegelijkertijd heeft de Duitse Bundesamt für Sicherheit in der Informationstechnik, de tegenhanger van het NCSC, internetproviders op de hoogte gebracht van slachtoffers onder hun klanten. Die kunnen de klanten vervolgens waarschuwen, zegt de BSI. "Ik roep alle burgers op om als ze informatie van hun provider over een Emotet-infectie krijgen, ze dat serieus nemen. Maak je systemen schoon!", zegt de baas van de dienst.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

29-01-2021 • 17:04

47 Linkedin

Reacties (47)

Wijzig sortering
Computers die geïnfecteerd zijn met de Emotet-malware krijgen vanaf 25 april een update doorgevoerd waarmee de malware wordt verwijderd.
Het wordt mij uit het artikel niet helema duidelijk wat dit dan voor update is en waar hij vandaan komt. Gaat het om Windows systemen en is het een update van MS? Is het een update vanuit de malware zelf? Er wordt gesproken over het command & control center. Betekent dit dat de update van de politie komt?

--edit--

In het bronartikel staat het wat duidelijker.
Law enforcement officials in the Netherlands are in the process of delivering an Emotet update that will remove the malware from all infected computers on April 25, 2021, ZDNet has learned today.
Maar het is me nog steeds niet duidelijk welke infrastructuur hiervoor gebruikt wordt

[Reactie gewijzigd door jrswgtr op 29 januari 2021 20:16]

Ze (de politie) kunnen vanaf de C&C server (die door de (opgepakte?) malwaremakers gebruikt werd om de malware aan te sturen) een update doorvoeren waardoor de malware zichzelf verwijderd na het eerstvolgende contact met de C&C server (afhankelijk van hoe de malware gebouwd is kan de malware een 'oproep' krijgen om zich bij de C&C server te melden voor nieuwe commandos/updates en dus dat alle Emotet-malware met Internet contact in 1 dag gedwongen kan worden weg te gaan), en vervolgens de C&C server zelf daarna ontmantelen.

[Reactie gewijzigd door MicBenSte op 29 januari 2021 18:09]

Ja joh. En de aarde is plat en "Corono slachtoffers" worden betaald om die rol te spelen" toch?

In wat voor een waan-wereld leef jij dan...
Een maandje zonder drugs en drank zou je goed doen.
Zijn er, los van paranoia, redelijke redenen om aan te nemen dat de Duitse politie dat zou misbruiken? Al helemaal omdat er mensen zijn die die server gewoon kunnen benaderen en na gaan wat daar vandaan komt lijkt het mij onwaarschijnlijk dat ze het misbruiken.
De update wordt verstuurd vanaf de command-and-control-servers die de Nederlandse politie heeft overgenomen.

Of dit is later toegevoegd of je hebt het artikel niet volledig gelezen :-)
"BSI. "Ik roep alle burgers op om als ze informatie van hun provider over een Emotet-infectie krijgen, ze dat serieus nemen. Maak je systemen schoon!", zegt de baas van de dienst."
- > ja, dan moet Anita's op 2 hoog en Henkies te Uytwijkhuizen wel begrijpen waar het om gaat en hoe je dit aanpakt... en ook hoe je dit in de toekomst kunt voorkomen / herkennen.
Ik ben ooit door mijn provider in hun quarantaine net gezet nadat ik een verse installatie onbeveiligd aan het internet gehangen had die gelijk helemaal besmet was. Iets met een verkeerde driverpack, volgens mij. 10-20 jaar geleden.

Je krijgt dan alleen nog maar de pagina waarop staat dat je je computers moet ontsmetten en komt verder nergens. Nou, dan moeten ook de Anita's en Henks aan de gang, hoor. Dat kan prima.
was dat telfort ?

daar werd je al in iso gezet als je bepaalde poorten in de router forwarde (open of niet in gebruik). het leuke was hun forum stond toen ook vol van adviezen om vooral gamers in DMZ te zetten e.d.

}>
Misschien een domme vraag, maar hoe kom ik er achter of die troep op mijn laptop staat?
Virusscanner? (Eigenlijk antimalware )
Windows Defender bijv detetecteert en blokt dit allang.
Dus als de servers niet in Nederland waren. Maar laten we zeggen ergens op een eiland? Dan was het niet mogelijk geweest?? En kon het feestje gewoon blijven doorgaan?

[Reactie gewijzigd door theduke1989 op 29 januari 2021 17:16]

Tja zo werkt dat met Soevereiniteit.
Wij willen immers ook niet dat de Russen of de Chinezen hier de wet bepalen

Het enige dat je dan kunt doen is contact opnemen met de lokale overheid en vragen of zij er iets aan willen doen
Tja zo werkt dat met Soevereiniteit.
Soevereiniteit werkt twee kanten op. Dat wordt nog wel eens vergeten tussen verschillende landen. ;)
"Choice is an illusion created between those with power and those without." - The Merovingian

Hetzelfde is van toepassing op soevereiniteit.
Nu kunnen ze natuurlijk fysiek ingrijpen maar wellicht dat er dan andere methodes (lees hackaanvallen op control servers?) gebruikt worden als een land niet mee wil werken?

Een P2P botnet lijkt me een stuk lastiger om aan te pakken.
Dat beschouwen we tegenwoordig als een daad van oorlog. Mits bewijsbaar is welk land de hackpoging uitvoerde.
Die servers hadden ook zowiezo door een hacker overgenomen kunnen worden en gestopt. Had ook wel gebeurd denk ik.
Niet als bijvoorbeeld het domein was overgenomen door de politie, dan laat je die mooi naar je eigen adressen verwijzen.
Eerder andersom, juist omdat twee van de drie servers in Nederland stonden kon emotet tijdlang ongestoord zijn gang gaan.
Nee, dat had alsnog ook gekund maar door andere LEA. Als ik het niet verkeerd heb gelezen zijn er een aantal landen gezamenlijk dit opgepakt. Als het maar juridisch gedegen afspraken worden gemaakt wie uiteindelijk op de knoppen mag drukken, maakt qua locatie niet zo veel uit imho.
U bent geinfecteerd met de Emotet-malware. Voer bijgevoegde update uit. Hiermee wordt de malware verwijderd. Voor technische details zie techsite: nieuws: Computers in Emotet-botnet krijgen op 25 april automatisch een schoon...

Zou je hier mee scoren? :)
Ik vrees dat ik er in zou trappen als de afzender er ook nog eens deugdelijk uit zag...
Ja, dat is wel het risico. De les hier is nogmaals: Zorg dat je als overheidsinstantie nooit links stuurt en dat mensen dat weten. Verwijzen naar de website kan, linken niet.
Ben bang dat dat wel de komende tijd van die phishing mailtjes zullen gaan worden ja, en mensen dus met een andere malware besmet raken.
Even een ballontje oplaten: U maakt deel uit van een criminele organisatie als uw computer wordt gebruikt voor het uitvoeren van criminele activiteiten. U bent verantwoordelijk voor de geleden schade aan derden.

Zou dit helpen?

Mijns inziens is er een grotere rol weggelegd voor providers. Die moeten gebruikers blokkeren/beschermen tegen schadeeis als ze deel uitmaken van een botnet. Die zouden phishing mails ed moeten tegenhouden.
Dit als een dienst. Als je het niet wilt ook goed maar dan zijn de gevolgen voor jou.
Maar eh; we willen juist dat de provider niet ons internet verkeer inspecteert toch?
Nee, maar als je mail bij je provider afneemt dan zitten daar ook diensten als spam filtering aan verbonden.

Dus dit neem je hoe dan ook al af.
Ik weet alleen niet dat dat zo werkt.

Ik denk dat het grootste deel van de mensen op internet een ander e-mail adres heeft dan die van de provider. De spam filter van de provider heeft (gelukkig) geen invloed op mijn e-mail van bijvoorbeeld gmail, Hotmail of eigen domeinnamen.
Nee maar een ISP kan dan ook geen mails tegenhouden bij zo’n externe providers. Daar is het aan die provider om spam filtering te doen.
Dat argument kun je dan ook gebruiken tegen de lokale overheid die wegen beheerd. Inbreker kwam via de openbare weg naar mijn huis.

Pas op voor simpele (zwart/wit) oplossingen voor problemen.
Mijn ballonnetje:
De provider moet met zijn tengels van verkeer afblijven.
Provider mag diensten bieden op dit punt, waar ik vrijwillig aan meedoe.
Mail filteren is aardig, maar leidt tot zowel false positives als false negatives. Dus is zowel niet waterdicht als blokkeren/verwijderen van legitieme mails.
If command==cleanup
{
execute malware + disable command control server
}
Het risico bestaat dat de computers/netwerk al breder geinfecteerd zijn.

Kunnen ze niet eerst dmv de command control iedere computer een popup geven van im infected? Dan kan it die computers remiagen oid.
Als internproviders gaan melden: er is een emotet infected host in je netwerk dan is het voor sommige wel een zoektocht
Zal wel aan mij liggen, maar ik snap de 25 april actie niet helemaal.
Je kan toch gewoon je eigen computers opschonen indien besmet? Windows Defender bijv. detecteert en blokt dit al.
Ik zou niet wachten op deze 'service' van de politie.
Probleem is dat deze malware de computer niet stuk maakt, immers dan heb je niets meer om te verhuren als botnet want ofwel werken die computers niet meer ofwel zijn ze dusdanig geinfecteerd dat men niet anders kan dan hulp in te roepen. De malware zal er wel alles aan doen om te verhinderen dat deze opgespoord word door bijvoorbeeld Windows updates te saboteren, Defender te slopen of installaties van gekende AV producten te saboteren. Dan krijg je weer discussie met mensen die nogal graag Windows update slopen in plaats van het op de officiële manier uit te zetten met een group policy en dan klagen als Windows erin slaagt updates te herstellen roepen met backdoors en je hebt geen controle meer over je eigen systeem.

Heel veel van de slachtoffers zullen computers zijn van mensen die er zelf niets van kennen waarbij men wel weet dat er troep op staat maar zolang het werkt boeit het niet echt. Denk aan laptop van zoon/dochter en ouders die er niets van kennen, meestal weten die wel dat er "virussen" op staan maar zolang het werkt, het is "toch maar de laptop van zoon/dochter om wat simpele zaken op te doen". Iedere keer een winkel betalen want het jong kind klikt overal op en heeft full admin rechten, men laat dat zo tot het ding effectief stopt met werken. Tenzij ze iemand kennen, liefst in de familie en verwachten dat die dat wel gratis iedere keer oplost, Tweakers kennen het wel, durven ze afkomen met "heb je even tijd om de computer nog eens op te schonen en virus vrij te maken? Het is al een jaar geleden namelijk."

Dat men via de provider consumenten een waarschuwing wilt geven is vooral om even te laten doordringen dat heel de attitude hierboven wel degelijk verder gaat dan gewoon een niet zo belangrijke computer waar af en toe een virus op staat maar ach, niemand heeft er echt last van. Brief van de provider, politie heeft laten weten dat een computer bij u actief verhuurd werd aan georganiseerde misdaad om aanvallen te plegen op doelwitten, plots is het probleem wat groter, mogelijks dringt er dan iets door.

Uiteindelijk kan de tech sector ook niet anders dan bij standaard consumenten alles in hun plaats te beslissen en af te dwingen dat men richting een Windows S gaat waar men enkel uit de store kan installeren en updates geïnstalleerd worden en waar defender verplicht actief staat waarbij het niet simpel uit te zetten is of bij een Home versie waar updates niet uitzetbaar waarbij het enkel mogelijk is via group policy waarvoor je eerst moet bijbetalen om naar de Pro te gaan. Krijg je weer een hoop mensen die beginnen klagen we hebben geen controle meer maar anders blijf je dweilen met de kraan open en is het Microsoft suckt want altijd virussen en botnets met hun OS.
Aangezien de politie nu de C&C servers beheert is het botnet waarschijnlijk ongevaarlijk. Er is dus geen spoed geboden om de malware te verwijderen. En aangezien iedere wijziging aan een systeem altijd een risico met zich mee brengt waarschuwen ze de eigenaars zodat die zelf actie kunnen ondernemen. Pas als die niets doen of niet te vinden zijn zal de politie hun computers hacken met alle risico's van dien.
Wie zegt dat de geïnstalleerde malware in de besmette computers geen backdoor heeft buiten de toegang van de C&C server. Ik zou het niet vertrouwen..
Ga er maar van uit dat ze die mallware op wat testsystemen hebben draaien en weten wat het kan doen.
Je kan wel klagen dat een ander iets niet naar je zin doet maar waarom is dat volgens jou redelijk? De politie had ook kunnen zeggen dat het opsporen van de verdachten en het stoppen van de C&C servers van de verdachten hun werk is maar het verwijderen van mogelijk nog schadelijke software op jou systeem niet. De politie stelt je ook geen deadline dat jij thuis troep van een verdachte voor een bepaalde datum moet opruimen of je sloten moet vervangen en dat ze het anders voor je komen doen. Het lijkt niet de verantwoordelijkheid van de politie om voor jou te bepalen wat bij jou thuis een risico is als je besmet bent.
Wellicht hebben ze liever dat iedereen het zelf doet, want ik denk dat het juridisch toch enigsinds dubieus is om vanaf deze servers privé computers binnen te dringen. Iemand met meer kennis hierover?

Ik sta er wel 100% achter, goede actie. Wat mij betreft mogen ze het gelijk uitvoeren.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True