Malware-as-a-service-botnet Emotet is opnieuw actief na tien maanden stilte

Malwarebotnet Emotet, een van de beruchtste malwaresoorten van de afgelopen jaren, is opnieuw actief. Dat schrijft het Eindhovens Dagblad op basis van gesprekken met securityexperts. Het botnet was in januari offline gehaald door onder meer de Nederlandse politie.

Het botnet lijkt te worden verspreid door 'cyberbende' Conti, zeggen de experts tegen het Eindhovens Dagblad. Het botnet, dat onder meer te gebruiken was als malware-as-a-service, werd in januari door onder meer de Nederlandse politie offline gehaald. Dit gebeurde tijdens een actie van Europol waarbij in Nederland twee hoofdservers offline werden gehackt.

Emotet was jaren een van de beruchtste malwarevormen. Het begon in 2014 als trojan die malware installeerde om bankgegevens te stelen, maar evolueerde tot veelzijdige malware die zich verspreidde via e-mails met geïnfecteerde Word-documenten als bijlage. Criminelen konden Emotet huren om ransomware of remote access tools te verspreiden.

Het botnet is nu opnieuw verschenen, zeggen onder meer medewerkers van securitybedrijf Northwave en ESET Nederland. Het heeft nog niet de grootte die het eerder had, maar het lijkt erop dat het Emotet-netwerk opnieuw wordt voorbereid. Het lijkt er bovendien op dat ransomewarebende Conti verantwoordelijk is voor het herrijzen van Emotet en de touwtjes in handen heeft. Die bende is verantwoordelijk voor verschillende grote ransomwareaanvallen en wordt gezien als de tweede grootste ransomwaregroep ter wereld, na REvil. Het virus wordt verspreid via een bestaand crimineel servernetwerk.

Door Stephan Vegelien

Redacteur

Feedback • 22-11-2021 15:14
15 • submitter: edeboeck

22-11-2021 • 15:14

15

Submitter: edeboeck

Lees meer

Politie Noord-Holland benadert gebruikers van remoteaccesstrojan RevCode
Politie Noord-Holland benadert gebruikers van remoteaccesstrojan RevCode Nieuws van 16 februari 2024
ESET: Lazarus-hackers vielen defensiebedrijf aan door bekende bug in Dell-driver
ESET: Lazarus-hackers vielen defensiebedrijf aan door bekende bug in Dell-driver Nieuws van 30 september 2022
VS toont voor het eerst foto vermeend lid Conti-ransomwarebende
VS toont voor het eerst foto vermeend lid Conti-ransomwarebende Nieuws van 12 augustus 2022
'Conti-ransomwarebende splitst zich op en stopt met Conti-naam'
'Conti-ransomwarebende splitst zich op en stopt met Conti-naam' Nieuws van 20 mei 2022
Bij hack op woningcorporaties zaten ID-bewijzen en rekeninggegevens
Bij hack op woningcorporaties zaten ID-bewijzen en rekeninggegevens Nieuws van 6 april 2022
Criminelen stelen vertrouwelijke info bij aanval op ict-leverancier van Defensie
Criminelen stelen vertrouwelijke info bij aanval op ict-leverancier van Defensie Nieuws van 6 december 2021
Interne e-mailadressen IKEA-medewerkers gebruikt voor verspreiden van malware
Interne e-mailadressen IKEA-medewerkers gebruikt voor verspreiden van malware Nieuws van 29 november 2021
Microsoft: hackersgroep achter SolarWinds is nog steeds actief
Microsoft: hackersgroep achter SolarWinds is nog steeds actief Nieuws van 25 oktober 2021
Kwetsbaarheid in Apache OpenOffice maakt uitvoeren code op afstand mogelijk
Kwetsbaarheid in Apache OpenOffice maakt uitvoeren code op afstand mogelijk Nieuws van 21 september 2021
Kabinet zegt niet of Nederlandse instellingen Pegasus-spyware gebruiken
Kabinet zegt niet of Nederlandse instellingen Pegasus-spyware gebruiken Nieuws van 14 september 2021
Meer producten en artikelen
Netwerk en systeembeheer Malware Ransomware

Reacties (15)

-Moderatie-faq
15
11
3
0
0
0
Wijzig sortering
kodak
22 november 2021 15:50
Europol heeft destijds bekend gemaakt dat ze het botnet verstoord hebben. Dat is wat anders dan echt offline of zelfs onschadelijk maken.

Een groot botnet is vaak complex en niet perse volledig onder controle van de criminelen. Die criminelen hebben bijvoorbeeld niet altijd iets te zeggen waneer ze bij een besmet systeem kunnen, of zelfs van bestaan weten. Hun administratie is dus ook niet zomaar compleet of juist. Daarom was het waarschijnlijk ook niet genoeg om die servers waar de politie wel bij kon offline te halen en als politie goed bedoelde opdrachten aan besmette systemen te proberen te sturen. Er was niet voor niets ook software zodat mensen zelf hun systemen konden controleren. Die hebben dat waarschijnlijk niet allemaal gedaan. En als ze het al gedaan hebben mogelijk niet goed opgeruimd. Het kan dan gebeuren dat bijvoorbeeld een andere crimineel wel gelegenheid krijgt om te weten waar nog besmettingen zijn en hoe die te gebruiken om het botnet te laten groeien.

Waarschijnlijk was het dus helaas nooit weg of offline, maar was er 'slechts' een grote verstoring.

[Reactie gewijzigd door kodak op 23 juli 2024 10:40]

Anoniem: 428562 @kodak22 november 2021 17:31
Slides staan nog op de site van europol, document heeft als titel "Emotet Takedown"

https://www.europol.europ...emotet_infographic-01.jpg

Veel tijd, moeite en geld ingestopt door politie en justitie in diverse landen maar tot nu toe zijn de operators van Emotet ze te slim af.

[Reactie gewijzigd door Anoniem: 428562 op 23 juli 2024 10:40]

kodak
@Anoniem: 42856222 november 2021 17:49
Je hebt maar een crimineel nodig om iets misdadig te gebruiken, terwijl het aanpakken niet alleen gaat om het stoppen van die ene crimineel. Waar het ook om gaat is hoeveel criminaliteit men stopt, hoeveel slachtoffers men voorkomt, hoeveel schade men voorkomt en hoe lang dat beperken en voorkomen effect heeft. Ik denk niet dat je kunt stellen dat het na maanden pas weer iets opleven van een botnet dus te slim af zijn terwijl die criminelen maanden lang niet konden doen wat ze er allemaal mee deden.
kimborntobewild 23 november 2021 20:25
Het wordt tijd voor doodstraffen of i.i.g. levenslang voor zulke ransomeware-criminelen.
Inproba 22 november 2021 15:21
Tweakers.net is wakker geworden na een week te hebben geslapen. En komt dan alsnog met een enorm mager artikel over iets waar al zoveel over te vinden is.

Voor mensen die meer info erover willen lezen:
https://securityaffairs.c...around-emotet-return.html
https://securityaffairs.c...t-emotet-conti-triad.html

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door Bor op 23 juli 2024 10:40]

walteij @Inproba22 november 2021 15:24
Bedankt voor de extra info. Gaan we even goed doornemen.

Klein tipje: Als je nu zoiets tegenkomt, kun je de tweakers redactie even wakker schudden via een linktip. Op die manier komen de artikelen ook hier sneller. tweakers is naast een nieuwssite ook erg afhankelijk van de communicty (wij als gebruikers dus). Wij zien veel meer dingen online met de honderden (zo niet duizenden) actieve leden die hier de site dagelijks bezoeken dan de redactie met 15 man (grove inschatting).
SmokingSig @walteij22 november 2021 15:28
Inderdaad. Het is makkelijk commentaar te geven maar je kan, zoals vermeld, de redactie tippen, iets wat ik zelf ook af en toe doe. Binnen x uur staat dan ook het artikel hier.
x86dev @SmokingSig22 november 2021 19:16
Ik tip Tweakers ook vaak, doen ze 9/10x niks mee.
DeDooieVent @walteij22 november 2021 15:34
Hier ben ik het mee eens, dat jullie dat weten he!
jvr @Inproba22 november 2021 15:45
Ik ben ook voorstander van het vriendelijk met elkaar omgaan....is al genoeg gezeur in de wereld.
AuteurSirRosencrantz @Inproba22 november 2021 15:54
Bedankt voor je input. Goede aanvullende artikelen lijkt me. Als je iets voorbij ziet komen mag je altijd de redactie tippen. Onze redacteur cybersecurity zit niet elke dag op nieuws, dus soms moeten ook wij het hebben van media als het ED om dit tegen te komen. Maar de Tweakers-community is vaak veel sneller met dit soort dingen, dus tip ons vooral, dan hebben we het ook sneller.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq