Seit Sommer 2020 werde eine deutliche Zunahme von Cyberkriminellen beobachtet, die mit Emotet-Phishing-E-Mails vorgehen würden, schreiben das US-Ministerium für Innere Sicherheit und die Cybersecurity and Infrastructure Security Agency (CISA) in einer Mitteilung vom 6. Oktober.
Nachdem Emotet im Februar plötzlich vom Radar der Sicherheitsexperten verschwand und eine "Ruhepause" eingelegt habe, sei die Malware seit Juli im grossen Stil zurück.
Im August sei ein 1000-prozentiger Anstieg der Downloads des Emotet-Loaders beobachtet worden. Gleichzeitig sei in den USA ein starker Anstieg der Zahl der Attacken mit Emotet-Varianten auf staatliche und lokale Regierungsorganisationen erfolgt. Seit Juli habe das "Einstein Intrusion Detection System" der CISA, welches Netzwerke der zivilen Exekutiven schützt, etwa 16'000 Warnungen im Zusammenhang mit Emotet-Aktivitäten entdeckt.
Im September sei weltweit eine weitere Emotet-Schwemme erfolgt, in deren Rahmen unter anderem in Frankreich, Japan, Kanada, Italien, Holland und Neuseeland Systeme infiziert wurden. Emotet-Botnets seien eingesetzt worden, um mittels der Ransomware Ryuk Lösegelder zu erpressen oder mit dem Trickbot-Trojaner Bankdaten und Daten von anderen Zielen zu stehlen.
Sicherheitsforscher von Microsoft hätten zudem neue Taktiken bei Emotet-Angriffen beobachtet. Dazu gehöre das Anhängen von kennwortgeschützten Archivdateien (z.B. Zip-Dateien) an Mails, um E-Mail-Sicherheits-Gateways zu umgehen. Diese E-Mails würden vorgeben, Dokumente zuzustellen, die auf mobilen Geräten erstellt wurden, um Benutzer dazu zu verleiten, Makros zur Ansicht der Dokumente zu aktivieren. In Wirklichkeit würde damit aber Malware zugestellt.
Der neue Bericht der CISA empfiehlt mehrere Schritte, die IT-Organisationen unternehmen können, um das Risiko eines erfolgreichen Emotet-Angriffs zu verringern. Der ausführliche
Alert "AA20-280A" ist auf der Website der CISA veröffentlicht worden.