G Data waarschuwt voor restanten van Emotet-malware. De politie heeft de servers van Emotet inmiddels uit de lucht gehaald. Maar op systemen van bedrijven worden ook na het opschonen nog malware-samples aangetroffen die later actief kunnen worden. Juich niet te vroeg, waarschuwt de ict-beveiliger.
Volgens de onderzoekers van het ict-securitybedrijf is Emotet nog steeds gevaarlijk omdat er verborgen samples in omloop zijn die cybercriminelen kunnen gebruiken om andere malware, zoals gijzelsoftware als Trickbot of Qbot, te installeren.
Volgens malware-expert Eddy Willems van G Data gaat het om restanten zoals downloaders die bij securityscans en analyses door de mazen van het net glippen. ‘Deze zijn meestal niet bekend bij andere security-experts. Vandaar dat we aan de bel trekken.’
‘Ik heb de indruk dat iedereen denkt dat Emotet dood is. Maar die victorie wordt iets te vroeg gekraaid, zeker in de pers. Met de ontmanteling van de servers is Emotet een zware slag toegekend. Maar uit onze analyse blijkt dat op systemen van bedrijven nog restanten malware aanwezig zijn die onopgemerkt blijven en die in een later stadium zijn aan te spreken door de criminelen.’
G Data adviseert bedrijven om via de Emotet-checker van de politie te controleren of hun inloggegevens zijn gestolen door de malware. Indien ze besmet zijn of direct een waarschuwing hebben gekregen van de politie, zullen zij hun netwerk grondig moeten controleren.
‘Een goed uitgangspunt is om firewall-logs te evalueren. Indien nodig met hulp van externen. Voer daarnaast een extra in-memory-scan uit met een endpoint-beveiligingsoplossing. Dit biedt de meeste kans om verborgen infecties op te sporen’, stelt G Data in een persbericht.
Willems voegt telefonisch toe: ‘Als je er zeker van bent dat computers besmet zijn geweest, dan zal je na verloop van tijd nog een keer de apparatuur moeten monitoren , bijvoorbeeld na een maand.’
Emotet
Eind januari werd bekend dat bij een internationale politieoperatie de servers achter de agressieve malware Emotet zijn ontmanteld. G Data: ‘Emotet is een modulaire malwarefamilie die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zelf zeer lastig te verwijderen is. Hoewel de malware, dankzij de politieoperatie, niet langer actief is op computers van ruim een miljoen slachtoffers wereldwijd, zullen bedrijven waakzaam moeten blijven voor verborgen malware-samples
