"Malware-König" Emotet ist zurück

16. November 2021 um 16:13
  • security
  • cybercrime
  • international
  • schweiz
image

Anfang 2021 vermeldete Europol die Ausschaltung von Emotet. Jetzt ist die Malware wieder da, bestätigt uns das NCSC. In der Schweiz gebe es aber noch keine Aktivitäten.

Als "König der Schadsoftware" bezeichnete der Präsident des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) einmal Emotet. Anfang 2021 meldete Europol, mit der internationalen "Operation Ladybird" die Kontrollinfrastruktur des berüchtigten Trojaners ausser Gefecht gesetzt zu haben. Server wurden beschlagnahmt, es kam zu ersten Verhaftungen. Weiter sei durch die Sicherheitsbehörden ein Update implementiert worden, welches am "D-Day" 25. April 2021 die Malware von allen infizierten Computern entfernen sollte.
Nun ist Emotet zurück. Dies melden Cybersecurity-Experten von Cryptolaemus, G Data und Advintel. "Das neue Emotet-Sample fällt durch mehrere technische Ähnlichkeiten zu der ursprünglichen Schadsoftware auf. Insbesondere ein Vergleich des Quellcodes zeigt ähnliche Strukturen. Es gibt aber auch Unterschiede: Im Gegensatz zu den früher bekannten Emotet-Varianten, wird der Netzwerkverkehr zwar weiterhin per HTTPS verschlüsselt, es wird jedoch ein selbst-signiertes Zertifikat genutzt", schreibt G Data in einer Mitteilung. Dies sei erstmals am 14. November bemerkt worden. 
Emotet nutze nach derzeitigen Erkenntnissen die Infrastruktur der Trickbot-Malware. "Das eigene Botnetz wurde im Zuge des Takedowns offenbar nachhaltig zerstört", so G Data. Der Fedeo-Tracker des Malware-Tracking-Forschungsprojekts Abuse.ch zeigt zurzeit mehrere aktive Command&Control-Server von Emotet an. 
Laut einem Tweet von Cryptolaemus würde das Emotet-Botnetz bereits wieder Malware via E-Mail verbreiten. Dieses versende präparierte Dokumente als .docm, xlsm oder passwortgeschützte ZIPs an potenzielle Opfer. G Data Advanced Analytics hat in einem Blogbeitrag detaillierte "Indicators of Compromise" veröffentlicht.
Das Nationale Zentrum für Cybersicherheit (NCSC) bestätigt auf Anfrage von inside-it.ch die Beobachtungen der verschiedenen Sicherheitsforscher zur Rückkehr von Emotet. "Das NCSC kann dies bestätigen, sieht jedoch momentan noch keine Emotet-Aktivitäten in der Schweiz."
Nach dem grossen Schlag gegen die Cyberkriminellen und der vermeldeten Ausschaltung der Malware durch Europol – wie kommt es jetzt zum "Comeback" nach nur 10 Monaten? "Das NCSC geht davon aus, dass nicht sämtliche Mitglieder der Emotet-Gruppe verhaftet wurden und sie sich nun im Hintergrund wieder neu organisiert haben. Es ist anzunehmen, dass die verbleibenden Mitglieder das Botnetz neu aufgebaut haben und ihr Business wieder aktiviert haben", schreibt uns die Cybersecurity-Behörde.
Das NCSC empfehle Unternehmen betreffend Emotet sicherzustellen, dass alle erforderlichen Schutzmassnahmen umgesetzt werden. "Dazu gehören das Einhalten des Grundschutzes wie Virenschutz, Firewall, das regelmässige Updaten der Hard- und Software und das regelmässige Speichern der Daten auf einem externen Datenspeicher."

Loading

Mehr zum Thema

image

Erneut keine Einigung über Chatkontrolle in der EU

Die Abstimmung wurde im zuständigen Ausschuss ein weiteres Mal verschoben. Ist die Chatkontrolle damit endgültig ein "totes Pferd"?

publiziert am 4.10.2024
image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024
image

EU-Datenschützer büssen Meta mit 91 Millionen Euro

Der Social-Media-Konzern speicherte Passwörter im Klartext. Nach einer Untersuchung der irischen Datenschutzbehörde wird Meta gebüsst.

publiziert am 30.9.2024