Am 27. Januar gab Europol bekannt, dass Ermittler aus mehreren Ländern eines der weltweit gefährlichsten
Malware-Netzwerke ausgeschaltet haben. Emotet war erstmals 2014 aufgetaucht. Cyberkriminelle brauchten nur einige wenige Geräte zu hacken und konnten über diese die Kontrolle über ganze Netzwerke erlangen.
In der konzertierten "Operation Ladybird", die unter Leitung des deutschen Bundeskriminalamts und der niederländischen Nationale Politie stand, sei die Infrastruktur von Emotet übernommen und Server beschlagnahmt worden, teilte Europol mit.
Am 25. April soll die Malware entfernt werden
Nun werden weitere Details zur Operation und dem weiteren Vorgehen bekannt. In Deutschland seien 17 Server beschlagnahmt worden, weltweit sind es laut Europol mehrere hundert. Es sei auch zu ersten Verhaftungen gekommen.
Die niederländische Polizei plane als nächsten Schritt, ein Emotet-Update auszuliefern, das die Malware an einem fixen Datum von allen infizierten Computern entferne, berichtet
'ZDnet'. Darauf hatte ein Sicherheitsforscher namens Milkream in einem Tweet aufmerksam gemacht: Emotet habe begonnen, ein neues Modul auf infizierte Geräte zu verteilen.
Milkream nennt in seinem Tweet als Datum den 25. März. Doch
'Heise' weist darauf hin, dass die gezeigte C-Struktur die Monate von 0 bis 11 zähle, sodass der Wert "TM.tm_mon=3" dem vierten Monat, also April entspricht. Die Tage hingegen gehen von 1 bis 31. Dies sei eine der vielen Seltsamkeiten in C.
Niederländische Beamte erklärten zum Vorgehen, dass zwei der primären Command-and-Control-Server von Emotet innerhalb der niederländischen Grenzen stehen würden. Sie würden ihren Zugang zu diesen beiden Servern nutzen, um ein mit einer "Zeitbombe" versehenes Emotet-Update auf alle infizierten Hosts aufzuspielen.
Laut den Berichten, die gegenüber der US-Website auch zwei mit Emotet vertraute Security-Firmen bestätigten, enthält dieses Update einen Zeitbomben-ähnlichen Code. Dieser werde die Malware am 25. April 2021 um 12 Uhr (Ortszeit des jeweiligen Computers) deinstallieren. Das Bundeskriminalamt plane dasselbe Vorgehen für die in Deutschland stationierten C&C-Server des Cybercrime-Netzwerks.
IT-Fachleute sollen das Zeitfenster dringend nutzen
Dieses Vorgehen, wenn es so funktioniere, werde "Emotet effektiv zurücksetzen", erklärte Security-Experte Randy Pargman gegenüber 'ZDnet'. "Es zwingt die Bedrohungsakteure von vorne anzufangen und zu versuchen, das System von Grund auf neu aufzubauen. Und es gibt den IT-Mitarbeitern in Unternehmen auf der ganzen Welt die Chance, ihre infizierten Computer zu lokalisieren und zu bereinigen", so Pargman.
Aber Emotet-Hosts, auf die Cybercrime-Banden bereits Zugriff hätten, würden gefährdet bleiben. Pargman fordert Unternehmen nun dringend auf, das Zeitfenster bis zum Tag der Deinstallation von Emotet zu nutzen, um interne Netzwerke auf die Malware zu untersuchen. Nachdem sich Emotet selbst deinstalliert habe, würden solche Untersuchungen schwieriger durchführbar.
Update 16.55 Uhr: Der Artikel wurde um die Erklärung von 'Heise' zum Datum der Deinstallation ergänzt.