Van cybercrimineel tot slachtoffer: een groep hackers heeft een aantal emotetservers overgenomen en de gevaarlijke malware vervangen door GIFs.

Emotet staat bekend als een van de gevaarlijkste en schadelijkste malware van dit moment. Het heeft talloze bedrijven en openbare instanties weten te verlammen met ransomware aanvallen. Na een pauze van vijf maanden eerder dit jaar hebben onderzoekers onlangs een nieuwe aanvalsgolf waargenomen. De doelen bevonden zich voornamelijk in de VS en het Verenigd Koninkrijk.

Echter, er is hoop. Sinds 21 juli heeft een mysterieuze groep hackers geleidelijk aan meer en meer servers overgenomen die de kwaadaardige software Emotet verspreiden. De kwaadaardige documenten worden eenvoudigweg vervangen door geanimeerde GIF-bestanden, bijvoorbeeld door de Hackerman GIF.

Emotet wordt zowel via schadelijke e-attachements als via gekoppelde bestanden verspreid, die meestal op gehackte servers of WordPress-pagina’s worden opgeslagen. Deze worden meestal beheerd via zogenaamde web shells, waarvan de toegang is beveiligd met een wachtwoord. Het lijkt erop dat een groep hackers toegang heeft verkregen tot deze wachtwoorden.

Volgens berichten in de media is het emotet-team zich hiervan bewust. In een poging om de indringers van de webshell te verdringen is het emotet-botnet namelijk op 23 juli uitgevallen. De poging is niet geslaagd en aanvallen met emotet zijn dankzij de hacks aanzienlijk verminderd. Volgens deskundigen gebruikt het emotetteam momenteel slechts ongeveer een kwart van de gebruikelijke capaciteit.

Het is nog niet duidelijk wie er achter deze aanval op de emotet-hackersgroep zit, maar het vermoeden bestaat dat het ofwel een concurrerende malwarebende ofwel een personen uit de beveiligingsgemeenschap zijn.