

Emotet-Day am 25. April: Eine Malware deinstalliert sich selbst
28. Januar 2021 um 13:09Europol hat die Infrastruktur von Emotet zerschlagen. Nun wird das weitere Vorgehen klar: Mit einem Update soll der Trojaner ausgeschaltet werden.
Am 27. Januar gab Europol bekannt, dass Ermittler aus mehreren Ländern eines der weltweit gefährlichsten Malware-Netzwerke ausgeschaltet haben. Emotet war erstmals 2014 aufgetaucht. Cyberkriminelle brauchten nur einige wenige Geräte zu hacken und konnten über diese die Kontrolle über ganze Netzwerke erlangen.
In der konzertierten "Operation Ladybird", die unter Leitung des deutschen Bundeskriminalamts und der niederländischen Nationale Politie stand, sei die Infrastruktur von Emotet übernommen und Server beschlagnahmt worden, teilte Europol mit.
Am 25. April soll die Malware entfernt werden
Nun werden weitere Details zur Operation und dem weiteren Vorgehen bekannt. In Deutschland seien 17 Server beschlagnahmt worden, weltweit sind es laut Europol mehrere hundert. Es sei auch zu ersten Verhaftungen gekommen.
Die niederländische Polizei plane als nächsten Schritt, ein Emotet-Update auszuliefern, das die Malware an einem fixen Datum von allen infizierten Computern entferne, berichtet 'ZDnet'. Darauf hatte ein Sicherheitsforscher namens Milkream in einem Tweet aufmerksam gemacht: Emotet habe begonnen, ein neues Modul auf infizierte Geräte zu verteilen.
Milkream nennt in seinem Tweet als Datum den 25. März. Doch 'Heise' weist darauf hin, dass die gezeigte C-Struktur die Monate von 0 bis 11 zähle, sodass der Wert "TM.tm_mon=3" dem vierten Monat, also April entspricht. Die Tage hingegen gehen von 1 bis 31. Dies sei eine der vielen Seltsamkeiten in C.
Niederländische Beamte erklärten zum Vorgehen, dass zwei der primären Command-and-Control-Server von Emotet innerhalb der niederländischen Grenzen stehen würden. Sie würden ihren Zugang zu diesen beiden Servern nutzen, um ein mit einer "Zeitbombe" versehenes Emotet-Update auf alle infizierten Hosts aufzuspielen.
Laut den Berichten, die gegenüber der US-Website auch zwei mit Emotet vertraute Security-Firmen bestätigten, enthält dieses Update einen Zeitbomben-ähnlichen Code. Dieser werde die Malware am 25. April 2021 um 12 Uhr (Ortszeit des jeweiligen Computers) deinstallieren. Das Bundeskriminalamt plane dasselbe Vorgehen für die in Deutschland stationierten C&C-Server des Cybercrime-Netzwerks.
IT-Fachleute sollen das Zeitfenster dringend nutzen
Dieses Vorgehen, wenn es so funktioniere, werde "Emotet effektiv zurücksetzen", erklärte Security-Experte Randy Pargman gegenüber 'ZDnet'. "Es zwingt die Bedrohungsakteure von vorne anzufangen und zu versuchen, das System von Grund auf neu aufzubauen. Und es gibt den IT-Mitarbeitern in Unternehmen auf der ganzen Welt die Chance, ihre infizierten Computer zu lokalisieren und zu bereinigen", so Pargman.
Aber Emotet-Hosts, auf die Cybercrime-Banden bereits Zugriff hätten, würden gefährdet bleiben. Pargman fordert Unternehmen nun dringend auf, das Zeitfenster bis zum Tag der Deinstallation von Emotet zu nutzen, um interne Netzwerke auf die Malware zu untersuchen. Nachdem sich Emotet selbst deinstalliert habe, würden solche Untersuchungen schwieriger durchführbar.
Update 16.55 Uhr: Der Artikel wurde um die Erklärung von 'Heise' zum Datum der Deinstallation ergänzt.
Loading
Avaya darf sich refinanzieren
Ein Gericht hat den Refinanzierungsplan genehmigt. Er soll das Unternehmen wieder auf eine stabile finanzielle Basis bringen.
7 Chatbots im Vergleich
Auf allen Teilen des Globus wird an Künstlicher Intelligenz geforscht. Wir haben uns über den aktuellen Stand bei den Sprachbots schlau gemacht.
Ransomware-Banden belästigen ihre Opfer immer häufiger
Cyberkriminelle setzen ihre Opfer immer mehr unter Druck, um sie zu Lösegeldzahlungen zu bewegen, zeigt eine neue Studie von Palo Alto Networks.
Cyber-Nachhilfe für Chefinnen und Chefs
Ein neues Handbuch des deutschen Bundesamts für IT-Sicherheit soll helfen, das Verständnis für Cyberrisiken in Chefetagen zu verbessern. Das ist dringend nötig, wie Studien zeigen.