Emotet-Day am 25. April: Eine Malware deinstalliert sich selbst

28. Januar 2021 um 13:09
  • security
  • cybercrime
  • international
image

Europol hat die Infrastruktur von Emotet zerschlagen. Nun wird das weitere Vorgehen klar: Mit einem Update soll der Trojaner ausgeschaltet werden.

Am 27. Januar gab Europol bekannt, dass Ermittler aus mehreren Ländern eines der weltweit gefährlichsten Malware-Netzwerke ausgeschaltet haben. Emotet war erstmals 2014 aufgetaucht. Cyberkriminelle brauchten nur einige wenige Geräte zu hacken und konnten über diese die Kontrolle über ganze Netzwerke erlangen.
In der konzertierten "Operation Ladybird", die unter Leitung des deutschen Bundeskriminalamts und der niederländischen Nationale Politie stand, sei die Infrastruktur von Emotet übernommen und Server beschlagnahmt worden, teilte Europol mit.

Am 25. April soll die Malware entfernt werden

Nun werden weitere Details zur Operation und dem weiteren Vorgehen bekannt. In Deutschland seien 17 Server beschlagnahmt worden, weltweit sind es laut Europol mehrere hundert. Es sei auch zu ersten Verhaftungen gekommen.
Die niederländische Polizei plane als nächsten Schritt, ein Emotet-Update auszuliefern, das die Malware an einem fixen Datum von allen infizierten Computern entferne, berichtet 'ZDnet'. Darauf hatte ein Sicherheitsforscher namens Milkream in einem Tweet aufmerksam gemacht: Emotet habe begonnen, ein neues Modul auf infizierte Geräte zu verteilen.
Milkream nennt in seinem Tweet als Datum den 25. März. Doch 'Heise' weist darauf hin, dass die gezeigte C-Struktur die Monate von 0 bis 11 zähle, sodass der Wert "TM.tm_mon=3" dem vierten Monat, also April entspricht. Die Tage hingegen gehen von 1 bis 31. Dies sei eine der vielen Seltsamkeiten in C.
Niederländische Beamte erklärten zum Vorgehen, dass zwei der primären Command-and-Control-Server von Emotet innerhalb der niederländischen Grenzen stehen würden. Sie würden ihren Zugang zu diesen beiden Servern nutzen, um ein mit einer "Zeitbombe" versehenes Emotet-Update auf alle infizierten Hosts aufzuspielen.
Laut den Berichten, die gegenüber der US-Website auch zwei mit Emotet vertraute Security-Firmen bestätigten, enthält dieses Update einen Zeitbomben-ähnlichen Code. Dieser werde die Malware am 25. April 2021 um 12 Uhr (Ortszeit des jeweiligen Computers) deinstallieren. Das Bundeskriminalamt plane dasselbe Vorgehen für die in Deutschland stationierten C&C-Server des Cybercrime-Netzwerks.

IT-Fachleute sollen das Zeitfenster dringend nutzen

Dieses Vorgehen, wenn es so funktioniere, werde "Emotet effektiv zurücksetzen", erklärte Security-Experte Randy Pargman gegenüber 'ZDnet'. "Es zwingt die Bedrohungsakteure von vorne anzufangen und zu versuchen, das System von Grund auf neu aufzubauen. Und es gibt den IT-Mitarbeitern in Unternehmen auf der ganzen Welt die Chance, ihre infizierten Computer zu lokalisieren und zu bereinigen", so Pargman.
Aber Emotet-Hosts, auf die Cybercrime-Banden bereits Zugriff hätten, würden gefährdet bleiben. Pargman fordert Unternehmen nun dringend auf, das Zeitfenster bis zum Tag der Deinstallation von Emotet zu nutzen, um interne Netzwerke auf die Malware zu untersuchen. Nachdem sich Emotet selbst deinstalliert habe, würden solche Untersuchungen schwieriger durchführbar.
Update 16.55 Uhr: Der Artikel wurde um die Erklärung von 'Heise' zum Datum der Deinstallation ergänzt.

Loading

Mehr zum Thema

imageAbo

Wie Cyberkriminelle an Zugangsdaten kommen

Europol analysiert in einem aktuellen Report Techniken von Cyberkriminellen. Diese werden immer ausgefeilter.

publiziert am 12.6.2025
image

Bacs verstärkt Kooperation mit Banken

Das Bundesamt für Cybersicherheit erweitert seine Zusammenarbeit mit dem Swiss Financial Sector Cyber Security Centre. Insbesondere der Informationsaustausch wird verbessert.

publiziert am 11.6.2025
image

Cisco stellt Security-Lösungen für KI-Agenten vor

Agentenbasierte KI vervielfacht Risiken in Unternehmen, schreibt Cisco und stellt passende Lösungen vor.

publiziert am 11.6.2025
imageAbo

Im Cybercrime-Untergrund herrscht Unruhe

Aktionen von Justizbehörden häufen sich. Ein Whistleblower leakt Daten zu Ransomware-Hintermännern. Security-Experten äussern sich zu deren Analyse.

publiziert am 10.6.2025