Met het uit de lucht halen van servers achter de agressieve malware Emotet is de Emotet-besmetting niet langer actief op de computers van ruim een miljoen slachtoffers wereldwijd. Het uit de lucht halen gebeurde deze week in de omvangrijke internationale politieoperatie LadyBird.
Daarin werken de Landelijke Eenheid en het Landelijk Parket in Nederland samen met politie en justitie in Duitsland, het Verenigd Koninkrijk, Frankrijk, Oekraïne, de Verenigde Staten, Canada en Litouwen. Twee hoofdservers stonden in Nederland en één daarbuiten.
Emotet vervulde de afgelopen jaren volgens de politie een sleutelrol binnen het cybercriminele landschap. Het is een zogenoemde ‘modulaire malwarefamilie’ die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zeer lastig te verwijderen is.
Een besmetting van een computer met Emotet-malware komt vaak tot stand via een phishingaanval per e-mail. Daarbij wordt het slachtoffer verleid om op een malafide link te klikken, bijvoorbeeld in een pdf-bestand, of een Word-bestand met macro’s te openen. De cybercriminelen achter Emotet gebruikten verschillende soorten ‘lokaas’ om gebruikers te misleiden en te laten toehappen om de kwaadaardige bijlagen te openen. Zo deden zij het afgelopen jaar bijvoorbeeld alsof er in e-mailbijlages informatie over covid-19 zat.
Financiële malware
Emotet maakt toepassing van andere soorten malware mogelijk. Grote criminele groepen kregen tegen betaling toegang tot een deel van die systemen om hun eigen malware op te installeren. Concrete voorbeelden hiervan zijn de financiële malware Trickbot en de ransomware Ryuk.
De schade veroorzaakt door Emotet loopt wereldwijd in de honderden miljoenen euro’s. Inmiddels, zo blijkt uit Nederlands onderzoek, zijn er wereldwijd ruim een miljoen door Emotet geïnfecteerde computersystemen bekend. Daarnaast zijn in het onderzoek zeshonderdduizend e-mailadressen met wachtwoorden aangetroffen.
De criminele organisatie achter Emotet verspreidde de malware via een omvangrijk en complex netwerk van honderden servers. Sommige servers werden gebruikt om grip te houden op reeds geïnfecteerde slachtoffers en gegevens door te verkopen, andere om nieuwe slachtoffers te maken, en weer andere servers werden gebruikt om politie en beveiligingsbedrijven op afstand te houden.
Update
Een diepgaand en innovatief rechercheonderzoek bracht uiteindelijk de hele infrastructuur in kaart. Twee van de drie hoofdservers bleken in Nederland te staan, de derde in het buitenland. Deze week is het gelukt om de controle over dit netwerk over te nemen en de Emotet-malware te deactiveren. Op de Nederlandse centrale servers wordt een software-update geplaatst voor alle geïnfecteerde computersystemen. Alle geïnfecteerde computersystemen halen de update daar automatisch op, waarna de Emotet-besmetting in quarantaine wordt geplaatst.