Emotet malware verwijdert zichzelf van alle geïnfecteerde computers wereldwijd

Emotet malware verwijdert zichzelf vandaag van alle geïnfecteerde computers wereldwijd

Emotet-map.jpg


Emotet, een van de gevaarlijkste e-mailspambotnets in de recente geschiedenis, wordt vandaag van alle
geïnfecteerde apparaten verwijderd met behulp van een malwaremodule die in januari door
rechtshandhavingsinstanties is afgeleverd.

De uitschakeling van het botnet is het resultaat van een internationale rechtshandhavingsactie waardoor
onderzoekers de controle over de servers van Emotet konden overnemen en de werking van de malware
konden verstoren.

Emotet werd gebruikt door de TA542-dreiginggroep (ook bekend als Mummy Spider) om tweede-fase
malware payloads, waaronder QBot en Trickbot, te implementeren op de besmette computers van zijn slachtoffers.

De aanvallen van TA542 leidden meestal tot volledige netwerkcompromittering en de inzet van ransomware
payloads op alle geïnfecteerde systemen, waaronder ProLock of Egregor door Qbot, en Ryuk en Conti door TrickBot.


Hoe de Emotet uninstaller werkt

Na de stopzettingsoperatie hebben wetshandhavers een nieuwe configuratie naar actieve Emotet-infecties geduwd,
zodat de malware commando- en controleservers begon te gebruiken die onder controle staan van het
Bundeskriminalamt, de federale politie van Duitsland.

De politie verspreidde vervolgens een nieuwe Emotet-module in de vorm van een 32-bit EmotetLoader.dll naar alle
geïnfecteerde systemen die de malware op 25 april 2021 automatisch zal verwijderen.

Malwarebytes-beveiligingsonderzoekers Jérôme Segura en Hasherezade namen de uninstaller-module die door de
rechtshandhaving aan Emotet-servers werd geleverd, onder de loep.

Na het veranderen van de systeemklok op een testmachine om de module te activeren, ontdekten ze dat deze alleen
geassocieerde Windows-services en autorun registersleutels verwijdert en vervolgens het proces afsluit, waarbij al het
andere op de gecompromitteerde apparaten onaangetast blijft.

"Om dit soort aanpak op termijn succesvol te laten zijn, is het belangrijk om zoveel mogelijk ogen op deze updates
te hebben en, indien mogelijk, moeten de betrokken wetshandhavingsinstanties deze updates vrijgeven op het open
internet, zodat analisten zich ervan kunnen vergewissen dat er niets ongewenst wordt binnengesmokkeld," vertelde
Marcin Kleczynski, CEO van Malwarebytes, aan BleepingComputer.

"Dat alles gezegd hebbende, zien we dit specifieke geval als een unieke situatie en moedigen we onze
industriepartners aan om dit te zien als een geïsoleerde gebeurtenis die een speciale oplossing vereiste en niet als een
kans om beleid voor de toekomst te bepalen."

Emotet uninstall routine

Duitse federale politie achter verwijdermodule Emotet

In januari, toen de rechtshandhavers Emotet neerhaalde, kreeg BleepingComputer van Europol te horen dat de Duitse
Bundeskriminalamt (BKA) federale politie verantwoordelijk was voor het maken en pushen van de uninstall module.

"In het kader van de strafrechtelijke maatregelen die op internationaal niveau worden uitgevoerd, heeft het
Bundeskriminalamt ervoor gezorgd dat de malware Emotet in quarantaine wordt geplaatst op de getroffen
computersystemen," vertelde het Bundeskriminalamt aan Bleepingcomputer.

In een persbericht van 28 januari bevestigde ook het Amerikaanse ministerie van Justitie (DOJ) dat het
Bundeskriminalamt de uninstaller module naar met Emotet geïnfecteerde computers heeft geduwd.

"Buitenlandse wetshandhavingsinstanties, die samenwerken met de FBI, hebben de Emotet-malware op servers in
hun rechtsgebied vervangen door een bestand dat door wetshandhavingsinstanties is aangemaakt," aldus het DOJ.

"Het wetshandhavingsbestand verhelpt geen andere malware die al via Emotet op de geïnfecteerde computer
was geïnstalleerd; in plaats daarvan is het ontworpen om te voorkomen dat aanvullende malware op de geïnfecteerde
computer wordt geïnstalleerd door de slachtoffercomputer los te koppelen van het botnet."


Emotet-verwijdering uitgesteld om meer bewijs te verzamelen

BleepingComputer kreeg in januari van het Bundeskriminalamt te horen dat de vertraging bij het de-installeren
bedoeld was om bewijsmateriaal in beslag te nemen en de machines te zuiveren van de malware.

Identificatie van de getroffen systemen is noodzakelijk om bewijsmateriaal in beslag te kunnen nemen en de betrokken gebruikers
in staat te stellen een volledige systeemopschoning uit te voeren om verdere strafbare feiten te voorkomen.
Daartoe zijn de communicatieparameters van de software zodanig aangepast dat de gedupeerde systemen niet meer communiceren
met de infrastructuur van de daders, maar met een infrastructuur die voor de inbeslagneming van bewijsmateriaal is gecreëerd. -- Bundeskriminalamt

"Gelieve te begrijpen dat we geen verdere informatie kunnen verstrekken aangezien het onderzoek nog aan de
gang is," vertelde het Bundeskriminalamt aan BleepingComputer toen om meer info werd gevraagd.

Toen BleepingComputer opnieuw contact opnam voor commentaar over de operatie van vandaag, kregen we geen reactie.

De FBI weigerde ook commentaar te geven toen deze week gevraagd werd of de Emotet verwijderingsoperatie van
apparaten die zich in de VS bevinden nog steeds gepland staat voor zondag 25 april.

Eerder deze maand coördineerde de FBI een door de rechtbank goedgekeurde operatie om webshells te verwijderen
van in de VS gevestigde Microsoft Exchange-servers die waren gecompromitteerd met ProxyLogon-exploits, zonder
eerst de eigenaren van de servers op de hoogte te stellen.

De FBI zei dat het alleen web shells heeft verwijderd en geen beveiligingsupdates heeft toegepast of andere malware
heeft verwijderd die dreigingsactoren mogelijk op de servers hebben ingezet.

Bron:
 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
25.918
Leeftijd
67
OS
Windows 10 Professional x64
AV
Ziggo F-Secure antivirus
Uit Duitsland komen berichten dat Emotet inmiddels weer actief is.
Computers die nog steeds geïnfecteerd zijn met Trickbot, zijn inmiddels weer actief
spammails aan het verzenden met Office bijlagen waarin het virus zit.

Update on #Emotet. We are noticing now that bots are starting to spam on what we are calling the Epoch 4 botnet. There is only attachment based malspam seen so far with .docm or .xlsm(really XLSM with a lame AF Template "Excell") or password protected ZIPs(operation ZipLock). 1/x
— Cryptolaemus (@Cryptolaemus1) November 16, 2021
 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
25.918
Leeftijd
67
OS
Windows 10 Professional x64
AV
Ziggo F-Secure antivirus
Vermoedelijk dat Microsoft of in het recente verleden niet alle besmette computers heeft schoongemaakt
of dat in bepaalde gevallen de schoonmaak niet helemaal gelukt is en Trickbot achterbleef in het systeem.
 
Bovenaan Onderaan