Wat is Emotet malware? En wat doet het?

Inhoud

Emotet is zogenoemde ‘polymorfe malware’ – welke zichzelf constant aanpast om detectie te voorkomen. De malware wordt vaak gebruikt door internetcriminelen als springplank om toegang te krijgen tot bedrijfsomgevingen. Eenmaal binnen gaan aanvallers vaak op zoek naar manieren om verdere toegang tot het netwerk te verkrijgen.

Wat kan je als organisatie doen om jezelf tegen Emotet (en andere polymorfe malware) te beschermen? En wat als je als organisatie te maken krijgt met Emotet, QuackBot, Dridex of andere malware?

Ransomware door Emotet infectie

Als ondernemer wil je er niet aan denken dat de bestanden van jouw organisatie versleuteld worden door een internetcrimineel – maar het komt helaas steeds vaker voor. Emotet, QuackBot, Dridex en andere malware worden vaak als springplank gebruikt om een netwerk te hacken en vervolgens ransomware uit te rollen. Er zijn inmiddels zelfs aanbieders die ransomware aanbieden als een Software-as-a-Service (SaaS)-oplossing – dit wordt ook wel Ransomware-as-a-Service (RaaS) genoemd. Daarbij verkoopt een maker van ransomware een softwarepakket, dit softwarepakket wordt vervolgens door andere criminelen gebruikt om slachtoffers aan te vallen.

Bescherm jezelf tegen malware

Het is voor organisaties belangrijk om zich beter te wapenen tegen malware zoals Emotet en de gevolgen ervan. Deze tips kunnen helpen om ervoor te zorgen dat jouw organisatie weerbaarder is tegen polymorfe malware.

  1. Maak back-ups middels het 3-2-1 principe

Het 3-2-1 back-up principe is zeker geen overbodige luxe, het principe is als volgt:

  • Zorg voor 3 kopieën van je belangrijkste data
  • Bewaar de back-ups op minstens 2 verschillende media (bijv. harde schijf en tapes)
  • Sla 1 kopie buiten de deur op

3 kopieën van je belangrijkste data
Zorg dat je belangrijke data veilig opslaat op drie verschillende locaties. Dus niet in dezelfde map of op dezelfde schijf. Hoe meer kopieën je maakt van je data op verschillende locaties, hoe kleiner het risico wordt om de data te verliezen. Controleer ook of IT-beheerder een back-up van je data maakt.

2 verschillende opslagmediums
Zijn er meerdere kopieën gemaakt, dan is het natuurlijk niet handig om deze op hetzelfde apparaat te bewaren. In een tijd waar virussen, malware en hackers aan de orde van de dag zijn, loop je het risico (en het is risico is groot als je het niet goed beveiligd hebt) dat je alle data verliest op het apparaat waar je het hebt opgeslagen. Zorg daarom dat je op minstens twee verschillende opslagmediums een kopie hebt staan. Zoals bijvoorbeeld een NAS maar ook tapes.

1 back-up buiten de deur
Tot slot is het belangrijk dat er een fysieke scheiding is voor je derde kopie. Zorg er dus voor dat je niet alle data op dezelfde fysieke locatie bewaart. Houd er bijvoorbeeld rekening mee dat er brand kan uit kan breken of ingebroken kan worden.

  1. Zorg voor een gedrag gebaseerde antivirus/EDR oplossing

Het is belangrijk om een gedrag gebaseerde antivirus of EDR-oplossing te gebruiken binnen de organisatie – omdat polymorfe malware zichzelf probeert te verbergen door zichzelf constant aan te passen kan deze vaak het beste gedetecteerd worden door te kijken naar het gedrag. Nieuwe en moderne antivirus/EDR-oplossingen kijken niet alleen maar naar of ze een dreiging in het verleden hebben gedetecteerd, maar ook of ze bepaalde gedragingen van een programma kunnen detecteren die mogelijk malafide zijn.

  1. Laat een digitaal inbraak alarm installeren

Om te kunnen detecteren of een aanvaller mogelijk probeert om binnen te komen is het belangrijk om een vorm van security monitoring op het bedrijfsnetwerk toe te passen. Dat is net zo belangrijk als het hebben van een alarmsysteem voor je kantoorpand. Bij security monitoring wordt het verkeer in de gaten gehouden om aanvallers te detecteren. Een soort digitaal inbraakalarm dus.

Weten of jouw bedrijf weerbaar is tegen Emotet?

Wil jij weten in hoeverre jouw bedrijfsnetwerk technisch weerbaar is voor hackers? Neem dan contact met ons op. We staan u graag te woord en doen er alles aan om uw organisatie ten alle tijden bij te staan op IT-Security vlak!

Beveiligingsincident? Maak kennis met incident response

Ons incident response team is 24/7 beschikbaar om elk cyber incident in kaart te brengen en op te lossen.

De media komen dagelijks met nieuws over cyberaanvallen, datalekken of door vermoedelijk cyberaanvallen veroorzaakte ICT-storingen. Het blijkt dat organisaties vaak slecht voorbereid zijn op zo’n cyberincident. Dit is onverstandig, omdat zulke incidenten enorme verstoringen kunnen veroorzaken. Vandaag de dag kan iedere organisatie slachtoffer worden van een cyberaanval als gevolg van misbruikte kwetsbaarheden in het eigen netwerk of in die van softwareleveranciers. Deze zijn meestal niet specifiek gericht op uw organisatie, maar in een aantal gevallen zijn de aanvallen wel gericht op een specifieke organisatie.

Lees verder: Hoe kan uw organisatie zich voorbereiden op een cyberincident?

Ransomware is in opkomst, dat zal niemand meer ontkennen. Waar vroeger het doel was om toegang te krijgen tot bankrekeningen, laten aanvallers zich nu uitbetalen om bestanden van slachtoffers te ontsleutelen.

Lees verder: Hoe voorkom je dat jouw organisatie besmet raakt met ransomware?

  • Triage: deze stap heeft als doel om de bron(nen) en getroffen apparaten en/of systemen in kaart te brengen, aan de hand daarvan prioriteiten te stellen en het plan van aanpak te bepalen voor verder onderzoek. Gelijktijdig worden gegevens op forensisch verantwoorde wijze veiliggesteld voor eventueel nader onderzoek.
  • Containment: dit proces betreft het herstellen van de getroffen apparaten en/of systemen en het verifiëren van de beveiliging, zodat de normale werkzaamheden kunnen worden hervat.
  • Post-incident activiteiten: wanneer het incident is opgelost, wordt een forensisch onderzoeksrapport opgemaakt. In het rapport worden oplossingen aangedragen waarmee een soortgelijke gebeurtenis in de toekomst kan worden voorkomen. Tevens kan NFIR ondersteunen en/of adviseren bij de communicatie richting de Autoriteit Persoonsgegevens, advocaat en andere betrokken partijen.

Het team van NFIR bestaat uit een team van digitaal forensische onderzoekers, ethisch hackers en team leads die veel ervaring hebben met cyber security incident response. Na de melding van het beveiligingsincident wordt een team samengesteld dat uitrukt. Hoe groot het team is, is afhankelijk van het soort cyber incidents. Uiteraard gaan alle leden van het team forensisch te werk gedurende dit traject.

Wij staan voor communiceren in duidelijke taal met onze klanten. Op die wijze rapporteren wij ook onze bevindingen. Daarnaast ambiëren wij de aanpak ‘meten is weten’, waardoor wij u, met behulp van verschillende soorten onderzoek, gericht kunnen helpen. Bij de aanpak hoort ook dat onze diensten doorontwikkeld worden. Hierdoor blijven onze diensten aansluiten bij de veranderende praktijk.

NFIR staat voor het bieden van technische én organisatorische ondersteuning, security diensten en trainingen. Met onze kennis en ervaring kunnen wij u van technisch advies voorzien en geven wij u advies omtrent de procedures en processen van informatiebeveiliging. Door NFIR in te schakelen, wordt u op meerdere vlakken geholpen de weerbaarheid van de cyber security van uw organisatie te vergroten.

SECURITY INCIDENT BIJ UW ORGANISATIE?

De volgende 30 minuten zijn van cruciaal belang​!

De eerste 30 minuten na een cyber security incident zijn cruciaal, omdat een snelle en adequate reactie de schade kan beperken. Daarnaast kan verdere verspreiding van de aanval worden voorkomen en kan essentieel bewijsmateriaal veiliggesteld worden voor nader onderzoek.

Ons Computer Emergency Response Team (CERT) staat 24/7 klaar om bedrijven en organisaties te ondersteunen bij IT-beveiligingsincidenten.

Heeft uw bedrijf professionele hulp nodig bij een beveiligingsincident?