Emotet, een van de gevaarlijker spam botnets van de laatste jaren, werd dit weekend automatisch verwijderd van geïnfecteerde computers. De zelfvernietiging komt er na een wereldwijde politie-ingreep.
In januari legde een samenwerking tussen de politiediensten van een hele reeks landen, waaronder Nederland, Duitsland en Frankrijk, het Emotet botnet plat. Ze namen daarbij de controle over het botnet via twee servers die vanuit Nederland werden gerund.
Na die operatie heeft de Duitse politie delen van de Emotet malware vervangen door een eigen versie, die er onder meer voor moest zorgen dat er geen nieuwe infecties meer kwamen, en dat al geïnfecteerde toestellen de ‘command and control server’ van de Duitse politie zouden volgen.
In een tweede fase werd er ook een ‘tijdsbom’ geïnstalleerd. Een module werd uitgerold naar de geïnfecteerde toestellen die het voorbije weekend de malware automatisch moest vernietigen.
Unieke ingreep
Volgens securitybedrijf Malwarebytes wist de module de Windows-diensten en registersleutels die met de malware worden geassocieerd van de computer, maar is een grondiger ‘uninstall’ nog aangeraden. Het huidige proces is echter vrij uniek en moet het botnet hopelijk finaal opdoeken.
Dat het enkele maanden duurde tussen de initiële overname van de servers, en het volledig vernietigen van de malware, zou te maken hebben met de tijd die nodig is om bewijsmateriaal te verzamelen.
Emotet geldt als een van de gevaarlijkste botnets van de laatste jaren. Het botnet is sinds 2014 actief en wordt gerund door de groep TA542. Via phishingcampagnes infecteerde de malware duizenden computers. Emotet zet daarbij de deur open om de controle over de computer over te nemen, waarna ander payloads, zoals gijzelsoftware, kunnen worden geïnstalleerd.
Fout opgemerkt of meer nieuws? Meld het hier