Beheer

Nederlandse politie verwijdert Emotet-malware van miljoen pc's
Update via hoofdservers verspreid.
Update via hoofdservers verspreid.
De Nederlandse en Duitse politie hebben gisteren de malware Emotet van ruim een miljoen besmette pc’s verwijderd. Al in januari was aangekondigd dat de malware op 25 april van de besmette pc’s verwijderd zou worden. Dat is nu dus ook echt gebeurd, meldt nieuwssite Security.nl.
Opsporingsdiensten uit 8 landen, waaronder de Nederlandse politie namen eind januari het Emotet-netwerk van miljoen pc’s over. Twee van de drie hoofdservers stonden in Nederland.
De malware werd toen al gedeactiveerd, maar is nu ook daadwerkelijk van de systemen verwijderd. De politie gebruikte daarvoor een software-update die via de Nederlandse hoofdservers wed geplaatst. Die update verwijderde de registersleutel en de dienst waarmee de malware startte op besmette systemen.
Van voren af aan beginnen
Het voordeel hiervan is dat de criminelen achter Emotet weer van voren af aan moeten beginnen als ze weer een vergelijkbaar groot netwerk van besmette pc’s willen opbouwen.
De Nederlandse politie heeft de update ontwikkeld. Hij stond al eind januari getimed klaar, maar de politie heeft getroffen organisaties ruim de tijd willen geven om hun systemen te onderzoeken.
En nog iets: Alle betroffen systemen welke privacygevoelige informatie verwerken moeten eigenlijk aan de AP melden dat ze zijn gecompromitteerd en er mogelijk gevoelige informatie is gelekt. Ik voorzie een roep om meer middelen voor de AP.
En is deze van overheidswege doorgevoerde update ook bestand tegen het terugzetten van back-ups van voor die tijd of kiosk-systemen of VM'S die zich bij een herstart weer in de oorspronkelijke (mogelijk besmette) toestand terug zetten.. Die effecten worden nog wel eens vergeten bij schoonmaakacties tav virussen.
En zijn de beheerders van de betroffen systemen op de één of andere wijze op de hoogte gesteld. Die Emotet-checker bijvoorbeeld geeft die ook na ontsmetting nog aan dat het systeem besmet was.
Eén ding weet je zeker: Na deze actie moet je er eigenlijk blind vanuit gaan dat je systeem door de Nederlandse overheid en waarschijnlijk Huawei is gecompromitteerd.