Europol en de Nederlandse politie haalde deze week het wereldwijde botnet Emotet uit de lucht. Dat meldt het Openbaar Ministerie woensdag.
De besmetting met de malware was actief op de computers van ruim een miljoen slachtoffers. Daarnaast vond de politie 600.000 e-mailadressen met wachtwoorden op de netwerken. Twee hoofdservers stonden in Nederland.
Het uit de lucht halen was een grote internationale operatie genaamd LadyBird. Daarin werkten de Nederlandse politieorganisaties samen met politie en justitie in Duitsland, het Verenigd Koninkrijk, Frankrijk, Oekraïne, de Verenigde Staten, Canada en Litouwen. Twee hoofdservers van het botnet stonden in Nederland en één daarbuiten.
Emotet
Emotet had volgens het OM de afgelopen jaren een sleutelrol in het cybercriminele landschap. Het was een zogenoemde ‘modulaire malwarefamilie’ die allerlei aanvullende malware op systemen kan installeren of wachtwoorden uit browsers en e-mailclients kon stelen. Daarbij was het ook zeer lastig te verwijderen.
De basis van een besmetting van een computer met Emotet-malware gebeurt het vaakst via een phishingaanval per e-mail. Het slachtoffer wordt daarin verleid om op een malafide link te klikken. Die link zit bijvoorbeeld in een pdf-bestand. Soms gaat het om het openen van een Word-bestand met macro’s.
De cybercriminelen achter Emotet gebruikten verschillende soorten ‘lokaas’ om nietsvermoedende gebruikers te misleiden. Zo deden zij het afgelopen jaar bijvoorbeeld alsof er in e-mailbijlages informatie over COVID-19 zat.
Een van de dingen die Emotet zo gevaarlijk maakt, is dat het de deur opent voor andere soorten malware. Grote criminele groepen kregen tegen betaling toegang tot een deel van die systemen om hun eigen malware op te installeren. Concrete voorbeelden zijn de financiële malware Trickbot en de ransomware Ryuk.
Schade
De veroorzaakte schade loopt wereldwijd in de honderden miljoenen euro’s. Inmiddels zijn er wereldwijd ruim een miljoen door Emotet geïnfecteerde computersystemen bekend. Daarnaast zijn in het onderzoek 600.000 e-mailadressen met wachtwoorden aangetroffen.
De criminele organisatie achter Emotet verspreidde de malware via een omvangrijk en complex netwerk van honderden servers. Sommigen werden gebruikt om grip te houden op reeds geïnfecteerde slachtoffers en verkochten gegevens door. Anderen waren actief in de werving van nieuwe slachtoffers. Met weer andere servers hielden ze politie en beveiligingsbedrijven op afstand.
Twee van de drie hoofdservers bleken in Nederland te staan. De derde in het buitenland. Om het netwerk op te rollen werd op de Nederlandse centrale Emotet-servers een software-update geplaatst voor alle geïnfecteerde computersystemen. Al die systemen haalden de update daar automatisch op, waarna de Emotet-besmetting in quarantaine gezet kon worden.
Intussen is er ook een Emotet-checker actief. Daarmee systeembeheerders van bedrijven en organisaties, maar ook consumenten nagaan of eigen apparaten en netwerken besmet zijn en wat je dan kunt doen. Mogelijk zijn er namelijk via Emotet nog tal van andere malafide software, zoals Trickbot en Ryuk, actief op deze apparaten. Bij de checker staan ook tips voor veilig computergebruik.
Historie
OM en politie startten in juli 2019 met een strafrechtelijk onderzoek naar Emotet. Het onderzoek naar de criminele organisatie die Emotet ontwikkelt en verspreidt, is nog in volle gang. De verdenking tegen betrokkenen is onder meer computervredebreuk en het stelen van persoonsgegevens.
Het is nog niet bekend om hoeveel personen het precies gaat. Wel is duidelijk dat het om een goed georganiseerde groep gaat die snel inspeelt op veranderende omstandigheden. Dit geeft aan hoe professioneel deze criminele groepen zijn.
Op enkele onderzochte servers stonden dus ook back-up bestanden. Daarmee kunnen de daders bij eventueel neerhalen van hun criminele infrastructuur relatief snel weer opstarten. De politie hoopt met deze operatie een eventuele wederopbouw van Emotet ernstig te bemoeilijken.
Lees ook:
- Aantal phishing-aanvallen stijgt met 220 procent tijdens pandemie
- Online privacy onder controle
