Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Banktrojanen Trickbot härjar runt i Sverige

| Linda Kante

Efter Emotet som ligger etta globalt på listan över trojaner som påverkar verksamheter kommer i Sverige Trickbot, en banktrojan som sprids via skräppostkampanjer eller med hjälp av annan skadlig kod.

Enligt en rapport från Check Point påverkar Trickbot nästan sex procent av verksamheterna i Sverige, vilket är mer än dubbelt så hög utbredning som globalt. Den riktar in sig på Windowsplattformen och när den tagit sig in i ett system kan den både samla in och förmedla information om det infekterade systemet eller ladda ner och köra olika moduler med olika syfte. Aktörerna bakom Trickbot använder ofta modulerna som lägger beslag på bankinformation eller för att rekognoscera miljön hos den drabbade verksamheten, för att sedan genomföra en riktad ransomware-attack.

Teckna din prenumeration på Aktuell Säkerhet här

– Aktörerna bakom Trickbot har en hel verktygslåda med moduler för olika funktioner, vilket gör att de kan ställa till med mycket stor skada när de väl tagit sig in i verksamheten. Det är viktigt att ha lösningar på plats för att förhindra att den skadliga koden når slutanvändarna och att rekommendera anställda att vara försiktiga när de öppnar e-postmeddelanden, även om de verkar komma från en betrodd källa, säger Mats Ekdahl, säkerhetsexpert hos Check Point.

Nygammal trojan angriper både privatpersoner och företag

| Linda Kante

Qbot, en farlig trojan som sprider sig snabbt, har varit känd sedan 2008. Nu har säkerhetsforskare upptäckt att den är ute och rör sig igen, med både företag och privatpersoner i sikte. 

Check Points forskare hittade flera kampanjer med den nya formen av Qbot mellan mars och augusti 2020. I en av kampanjerna distribuerades Qbot av trojanen Emotet, vilket är en banktrojan som kan stjäla data genom att avlyssna nätverkstrafik. Detta fick forskarna att misstänka att Qbot har ny distributionsteknik och ”command and control”-infrastruktur. Fem procent av de undersökta verksamheterna globalt påverkades av Emotet i juli 2020.

Teckna din prenumeration på Aktuell Säkerhet här

Den senaste versionen av Qbot har utvecklats och har stor kapacitet. Trojanen kan nästan liknas vid en schweizisk armékniv med flera olika funktioner; till exempel för informationsstöld, installera ransomware eller göra obehöriga banktransaktioner.

– Vår forskning visar hur även äldre former av skadlig programvara kan uppdateras med nya funktioner för att göra dem till ett kontinuerligt farligt hot, säger Mats Ekdahl, säkerhetsexpert hos Check Point.

Ny våg av cyberattacker med trojanen Emotet

| Linda Kante

Angreppen riktar sig globalt över en mängd olika branscher, och bara under ett dygn – den 17 juli, upptäcktes nära en kvarts miljon e-postmeddelanden med trojanen.

Under 2019 var Emotet en av de vanligaste skadliga programvarorna i cyberattacker riktade mot företag och privatpersoner – bland annat genom en uppmärksammad attack i december där ”en julhälsning från Greta Thunberg” användes som lockbete för att lura människor att klicka.

Teckna din prenumeration på Aktuell Säkerhet här

Sedan i februari hade det skadliga programmet försvunnit från marknaden, men nu kommer en ny våg. Under en enda dag, den 17 juli, upptäckte Proofpoint nästan en kvarts miljon infekterade mejl, som innehöll textdokument med programvaran inbäddad, eller länkar till smittade WordPress-sidor. De vanligaste ärenderaderna var ”Re:” och ”Invoice #” (följt av ett falskt fakturanummer). Den första vågen riktades framför allt mot måltavlor i engelsktalande länder, men historiskt sett har gruppen bakom Emotet verkat i global skala. Från början riktade sig trojanen framför allt mot banker, men på senare år har den också använts för att leverera andra typer av skadlig programvara, både mot näringslivet och privatpersoner. Emotet är känt som ett av de mest mångsidiga och skadligaste cyberhoten idag.

– De var borta i 161 dagar, och kom i princip tillbaka som om inget hade hänt. De använder samma botnet som tidigare. Historiskt drivs gruppen av mätvärden för att testa vilka kampanjer som är framgångsrika och skala upp dem utifrån det, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint.

Emotet nyttjar Poweshell för IT-angrepp

| Linda Kante

Nätverksmasken Emotet utnyttjar applikationen Powershell för att infektera Windows-baserade datorer. Det är en varning som IT-säkerhetsföretaget Sophos nu går ut med. 

Teckna din prenumeration på Aktuell Säkerhet här

Det är inte många Windows-användare som behöver Powershell, trots det så väljer många att tillåta åtkomst till appen. Men när den inte aktivt används är det också lätt att glömma att uppdatera den, därför blir det svårt att skydda den mot Emotet.

Ett vanligt angrepp börjar ofta med att en användare får ett e-postmeddelande med en Wordbilaga. Mottagaren öppnar bilagan och luras att köra ett makro som startar Powershell och laddar ned Emotet. Nätverksmasken är sedan installerad på datorn utan att användaren vet om det.

Emotet benämns av många som en banktrojan eftersom att den stjäl bankuppgifter, men till skillnad mot till exempel ransomware så är tanken bakom masken att den ska infektera och verka utan att synas.

– Emotet har nu funnits i cirka fem år och visar att det är dags att vara mer kritisk till legitima applikationer som Powershell. De framgångsrika attackerna skulle minska avsevärt om de användare som inte behöver Powershell blockerade applikationen, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

– Det som gör Emotet så farlig är inte minst förmågan att hela tiden utvecklas och undgå upptäckt. Emotet sätter också fingret på att ett reaktivt IT-skydd inte längre räcker hela vägen. För att möta utvecklingen behöver IT-säkerhet handla lika mycket om proaktivitet och förmågan att effektivt identifiera misstänkt datatrafik.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29