Emotet: Så här känner du igen och skyddar du dig emot trojanen

Emotet är en skadlig programvara som först användes som en så kallad banktrojan. Syftet var att penetrera andras enheter och spionera på känsliga privata uppgifter. Emotet kan lura och gömma sig från vanliga antivirusprogram. När den skadliga programvaran har tagit sig in i enheten sprider den sig som en datormask och försöker att komma åt övriga datorer i nätverket.

Emotet sprids framför allt via e-post som innehåller en skadlig länk eller ett infekterat dokument med aktiverade makron. När du hämtar dokumentet eller öppnar länken laddas mer skadlig programvara automatiskt ned till din dator. Dessa e-postmeddelanden ser väldigt äkta ut.

Begreppet Emotet

Emotet upptäcktes 2014 då det drabbade tyska och österrikiska bankkunder. Emotet hade fått tillgång till kundernas inloggningsuppgifter. Under åren som följde kunde den skadliga programvaran spridas världen över.

Sedan dess har Emotet utvecklats från en banktrojan till en spridare, vilket betyder att trojanen läser in skadlig programvara som sedan orsakar stora problem i systemet. Följande program brukar spridas på detta sätt:

Trickbot: En banktrojan som försöker få åtkomst till inloggningsdata för bankkonton.
Ryuk: En krypteringstrojan – även kallad en kryptotrojan eller ett utpressningsprogram – som krypterar data och därigenom förhindrar att datorns användare får åtkomst till dem, eller låser hela systemet.

Målet med Emotet är oftast att pressa offren på pengar, till exempel genom att hota att publicera krypterade data eller aldrig släppa ifrån sig dem igen. Emotet syftar vanligen på hela processen med att ta sig in på datorn, ytterligare nedladdning av skadlig programvara och spridning.

Till vem riktar sig Emotet?

Privatpersoner, företag, organisationer och myndigheter. År 2018 blev kliniken i Fürstenfeldbruck tvungen att stänga av 450 datorer och logga ut från nödsamordningscentralen efter att ha drabbats av Emotet. I september 2019 drabbades Berlins appellationsdomstol (Kammergericht), åtföljt av universitetet i Giessen i december 2019.

Även Hannovers läkarutbildning och statsförvaltningen i Frankfurt am Main har drabbats av Emotet. Antalet företag som har drabbats beräknas vara mycket högre. Man misstänker att många företag som drabbats föredrar att inte rapportera eftersom de är rädda om sitt anseende och oroliga för ytterligare attacker.

I början var det mest företag som drabbades av Emotet, men nu är det främst privatpersoner.

Vilka enheter är sårbara för Emotet?

Tidigare hittades Emotet-attacken endast på modernare versioner av Microsoft Windows-operativsystemet. I början av 2019 avslöjades det dock att även datorer från Apple drabbats av det. Brottslingarna lurade användare i fällan genom ett bedrägligt e-postmeddelande från Apple-supporten där man hävdade att företaget hade ”begränsat åtkomsten till ditt kundkonto”. I e-postmeddelandet stod det även att användarna skulle klicka på en länk för att förhindra att vissa Apple-tjänster inaktiverades och raderades.

Så sprids Emotet-trojanen

Emotet sprider sig främst med så kallad Outlook-hämtning. Trojanen läser e-post från användare som redan drabbats och skapar innehåll som ser väldigt äkta ut. Dessa e-postmeddelanden verkar vid en första anblick äkta och personliga, så de skiljer sig från vanlig skräppost. Emotet vidarebefordrar dessa e-postmeddelanden med nätfiske till personer som sparats i kontakter, dvs. vänner, familj, kollegor eller chefen.

Dessa e-postmeddelanden innehåller vanligen ett infekterat Word-dokument som behöver laddas ner eller en skadlig länk. Rätt namn visas alltid som avsändare. Därför får mottagarna en falsk känsla av trygghet eftersom allt ser ut som ett vanligt, personligt e-postmeddelande från dig och de därför antagligen kommer att klicka på den skadliga länken eller bilagan.

När Emotet har tagit sig in på ett nätverk kan det spridas vidare. Under tiden försöker det knäcka lösenorden till dina konton med den så kallade brute-force-metoden. Emotet sprids även via EternalBlue-kryphål och DoublePulsar-sårbarheter i Windows-system, där den skadliga programvaran installeras utan mänskligt ingripande. Utpressningstrojanen WannaCry lyckades 2017 använda EternalBlue-kryphålet till en allvarlig cyberattack och orsakade stora skador.

Emotet: Den skadliga programvarans infrastruktur krossas

I slutet av januari 2021 meddelade åklagarmyndigheten i Frankfurt am Main – den centrala internetbrottspolisen (CIT) – och den federala kriminalpolisen (BKA) att Emotet-infrastrukturen hade ”tagits över och krossats” som en del i en samlad internationell insats. Polisväsendet i Tyskland, Nederländerna, Ukraina, Frankrike och Litauen, liksom Storbritannien, Kanada och USA, deltog i insatsen.

Myndigheterna hävdar att de lyckades inaktivera över 100 servrar av Emotet-infrastrukturen, varav 17 bara i Tyskland. Dessa utgjorde början till spåret de fick upp. BKA hade samlat in data och efter ytterligare analyser hittat flera servrar i Europa.

Enligt BKA hade infrastrukturen för den skadliga Emotet-programvaran krossats och oskadliggjorts. Ukrainska myndigheter lyckades ta över infrastrukturen och beslagta flera datorer, hårddiskar, pengar och guldtackor. Hela insatsen samordnades av Europol och Eurojust, EU:s myndighet för straffrättsligt samarbete.

Genom att ta kontrollen över Emotet-infrastrukturen kunde myndigheterna se till att den skadliga programvaran på drabbade tyska brottsoffers system inte kunde användas av brottslingarna. För att förhindra att de återfick kontrollen placerade arbetsgruppen den skadliga programvaran på drabbade system i karantän. Dessutom justerade de programvarans kommunikationsparametrar så att den kunde kommunicera med en särskild infrastruktur endast för att bevara bevis. Under processen fick myndigheterna information om drabbade system, till exempel offentliga IP-adresser. Dessa vidarebefordrades till BSI.

Vilka ligger bakom Emotet?

Den federala informationssäkerhetspolisen (FIS) tror att ”utvecklarna av Emotet hyr ut sin programvara och infrastruktur till tredjeparter”. De är i sin tur beroende av ytterligare skadlig programvara för att uppnå sina egna mål. BSI:s bedömning är att brottslingarnas motiv är av ekonomisk natur och att det snarare handlar om cyberbrottslighet än om spionage.

Ingen verkar kunna besvara frågan om vem som ligger bakom. Enligt ryktet finns ursprunget i Ryssland eller Östeuropa, men det finns inga verkliga bevis för det.

Emotet: En mycket skadlig programvara

Enligt US Department of Homeland Security är Emotet en särskilt kostsam typ av programvara, med enorm destruktiv potential. Kostnaden efter attacken hamnar i genomsnitt på en miljon amerikanska dollar per incident. Därför kallar Arne Schönbohm, chef för den federala informationssäkerhetspolisen (FIS), Emotet för ”kungen av skadlig programvara”.

Emotet är utan tvekan en av de farligaste och mest avancerade skadliga programvarorna någonsin. Den skadliga programvaran är polymorfisk, vilket betyder att koden ändras något varje gång som den används. Därför blir det svårare för antivirusprogrammen att upptäcka den skadliga programvaran, eftersom de flesta utför signaturbaserade sökningar. I februari 2020 upptäckte Binary Search-forskare att Emotet även attackerar Wi-Fi-nätverk. Om en infekterad enhet ansluter till nätverket genomsöker Emotet samtliga trådlösa nätverk i närheten. Med hjälp av en lösenordslista försöker den skadliga programvaran sedan att få åtkomst till nätverken och infektera andra enheter.

Cyberbrottslingarna utnyttjar gärna allmän oro. Det är därför inte konstigt att oron under covid-19 har bidragit till att hot som Emotet har ökat sedan december 2019. Cyberbrottslingarna bakom trojanen skickar ofta e-postbluffar där de utger sig för att ge information om covid-19 och informera befolkningen. Var därför extra försiktig med att klicka på länkar eller hämta bilagor om du stöter på sådana e-postmeddelanden i din inkorg!

Hur skyddar jag mig emot Emotet?

Det räcker inte med antivirusprogram för att skydda sig emot Emotet och liknande trojaner. Upptäckten av denna polymorfa skadliga programvara är bara det första problemet för slutanvändare. Det finns faktiskt ingen lösning som erbjuder 100 % skydd mot Emotet eller någon annan föränderlig trojan. Endast förebyggande organisatoriska och tekniska åtgärder kan minimera risken att drabbas. Det finns försiktighetsåtgärder som du bör vidta för att skydda dig mot Emotet:

Håll dig uppdaterad! Ta regelbundet del av information om hur Emotet utvecklas. Det finns flera sätt att göra det, till exempel BSI:s nyhetsbrev, vårt nyhetsbrev från Kaspersky eller genom att göra egna efterforskningar.
Säkerhetsuppdateringar: Var noga med att installera uppdateringar som tillhandahålls av tillverkare så snart som möjligt för att eliminera möjliga säkerhetssårbarheter. Det gäller operativsystem som Windows och macOS såväl som program, webbläsare, webbläsartillägg, e-posttjänster, Office-program och PDF-program.
Antivirusprogram: Var noga med att installera ett antivirusprogram, till exempel Kaspersky Internet Security, och se till att det regelbundet genomsöker din dator för sårbarheter. Detta är det bästa sättet att skydda dig emot de senaste virusen, spionprogrammen och andra onlinehot.
Ladda aldrig ned tvivelaktiga bilagor i e-postmeddelanden och klicka aldrig på misstänkta länkar. Ta inga risker om du inte är säker på om ett e-postmeddelande är äkta – kontakta personen som verkar ha skickat det! Om du blir ombedd att tillåta körning av ett makro när du laddar ner en fil ska du under inga omständigheter tillåta det. Radera istället filen omedelbart. På så sätt ser du till att Emotet inte hinner tränga in i datorn.
Säkerhetskopior: Säkerhetskopiera dina data regelbundet på ett externt datamedium. På så sätt har du alltid en kopia att falla tillbaka på om du skulle utsättas för en attack och slipper bli av med allt.
Lösenord: Använd endast starka lösenord för alla inloggningar (banktjänster, e-postkonton och webbutiker). Använd alltså inte namnet på din första hund, utan välj istället en mer avancerad blandning av bokstäver, siffror och specialtecken. Du kan antingen komma på dem själv eller låta en lösenordshanterare eller ett liknande program generera dem. Dessutom erbjuder många program nu möjlighet till tvåfaktorautentisering.
Filtillägg: Se till att filtillägg visas på din dator som standard. Det hjälper dig att upptäcka tvivelaktiga filer, till exempel någon som heter ”semesterresa123.jpg.exe”.

Hur blir jag av med Emotet?

Först och främst: få inte panik om du misstänker att din dator har Emotet! Informera din omgivning om det, eftersom dina e-postkontakter och andra enheter som är anslutna till samma nätverk potentiellt är utsatta för risk.

Se till att isolera datorn för att förhindra att det sprider sig till andra i nätverket. Du bör ändra alla åtkomstdata till dina konton, dvs. e-postkonton, webbläsare och annat.

Eftersom Emotet är polymorfiskt och koden ändras lite varje gång det används, kan en rensad dator snabbt få viruset på nytt om den ansluts till ett infekterat nätverk. Du måste därför rensa bort trojanen på samtliga anslutna datorer i nätverket – var för sig. Ta hjälp av ett antivirusprogram. Du kan även kontakta en specialist, till exempel leverantören av ditt antivirusprogram.

EmoCheck: Hjälper detta verktyg mot Emotet?

Japans CERT (Computer Emergency Response Team) har publicerat verktyget EmoCheck, som du kan använda för att kontrollera om Emotet finns på din dator. Tips: Använd verktyget för att upptäcka om din enhet har någon känd version av Emotet. Men var försiktig! Eftersom Emotet är ett polymorfiskt virus kan en kontroll med EmoCheck inte helt säkert garantera att din dator inte har utsatts. EmoCheck genomsöker datorn för karakteristiska teckensträngar och varnar dig därmed för trojanen. Det finns däremot inga garantier för att din dator inte har utsatts eftersom den skadliga programvaran ständigt förändras.

En sammanfattning av Emotet

Trojanen Emotet är en av IT-historiens skadligaste programvaror. Alla drabbas: privatpersoner och företag, men även myndigheter. När trojanen har infiltrerat systemet läser den in annan skadlig programvara som spionerar på inloggningsuppgifter och krypterar data. Ofta blir offren utsatta för utpressning om att betala en lösensumma för att få tillbaka sina data. Det finns tyvärr inget 100-procentigt skydd emot Emotet-attacker. Däremot kan du vidta åtgärder för att se till att risken att drabbas är låg. Om du misstänker att din dator har drabbats av Emotet bör du rensa den genom ovanstående åtgärder.