Malwarevariant Emotet richt pijlen op zorgsector

09.09.2020

Malware Emotet, ook wel bekend als Geodo, is terug van weggeweest en richt zich naast de financiële sector nu ook op de zorg. Ook Nederlandse ziekenhuizen hebben de malware waargenomen. Voor zover bij Z-CERT bekend, heeft dit nog niet geleid tot besmettingen.

Zorgsector
Emotet waart al sinds 2014 rond op het internet, was een tijdje afwezig en wordt nu over de hele wereld weer waargenomen. Verschillende CERT's, waaronder het Franse, Japanse, Finse en Nieuw-Zeelandse CERT, hebben gewaarschuwd voor de toename van Emotet in de afgelopen weken. Daarnaast heeft het Noorse CERT substantiële aanvallen gerapporteerd specifiek op de zorgsector. Nu wordt de Trojan dus ook door Nederlandse ziekenhuizen waargenomen.

Covid19
Emotet verspreidt zichzelf via bijlages in e-mail, zoals PDF’s, Word documenten of links naar Word documenten. De malware doet zich voor als een Nederlandse e-mail soms gerelateerd aan Covid19. Emotet maakt hierbij gebruik van de contactlijst van een gebruiker, hergebruikt eerdere e-mails en kan daardoor zeer geloofwaardig overkomen.

Na een succesvolle aanval worden macro's uitgevoerd om Emotet te installeren. Vervolgens worden er andere malware-typen geinstalleerd, bijvoorbeeld om gegevens te stelen of om ransomware te installeren.

ZorgDetectieNetwerk
Op basis van waarnemingen door Nederlandse ziekenhuizen is het ZorgDetectieNetwerk verrijkt met specifieke Emotet Indicators of Compromise. Ook houdt de Cryptolaemus groep een lijst bij die u kunt gebruiken.

Wat kunt u zelf doen tegen Emotet?
U kunt verschillende maatregelen treffen om een infectie te voorkomen of gevolgschade te beperken.
- Blokkeer en/of detecteer bekende IoC's van Emotet in uw organisatie.
- Z-CERT beveelt sterk aan om het gebruik van macro's niet toe te staan in uw organisatie. Overweeg of macro's nodig zijn.
- Isoleer geïnfecteerde machines van het netwerk
- Interventie van een antivirus applicatie is in de regel niet voldoende om een infectie volledig te verwijderen
- Houd regelmatig bewustwordingscampagnes onder uw medewerkers rondom (malafide) e-mails

Ziet u Emotet bij uw organisatie langskomen, of heeft Emotet succesvol een machine geïnfecteerd?
Neem dan contact op met Z-CERT via: [email protected]