Emotet-Day am 25. April: Eine Malware deinstalliert sich selbst

28. Januar 2021 um 13:09
  • security
  • cybercrime
  • international
image

Europol hat die Infrastruktur von Emotet zerschlagen. Nun wird das weitere Vorgehen klar: Mit einem Update soll der Trojaner ausgeschaltet werden.

Am 27. Januar gab Europol bekannt, dass Ermittler aus mehreren Ländern eines der weltweit gefährlichsten Malware-Netzwerke ausgeschaltet haben. Emotet war erstmals 2014 aufgetaucht. Cyberkriminelle brauchten nur einige wenige Geräte zu hacken und konnten über diese die Kontrolle über ganze Netzwerke erlangen.
In der konzertierten "Operation Ladybird", die unter Leitung des deutschen Bundeskriminalamts und der niederländischen Nationale Politie stand, sei die Infrastruktur von Emotet übernommen und Server beschlagnahmt worden, teilte Europol mit.

Am 25. April soll die Malware entfernt werden

Nun werden weitere Details zur Operation und dem weiteren Vorgehen bekannt. In Deutschland seien 17 Server beschlagnahmt worden, weltweit sind es laut Europol mehrere hundert. Es sei auch zu ersten Verhaftungen gekommen.
Die niederländische Polizei plane als nächsten Schritt, ein Emotet-Update auszuliefern, das die Malware an einem fixen Datum von allen infizierten Computern entferne, berichtet 'ZDnet'. Darauf hatte ein Sicherheitsforscher namens Milkream in einem Tweet aufmerksam gemacht: Emotet habe begonnen, ein neues Modul auf infizierte Geräte zu verteilen.
Milkream nennt in seinem Tweet als Datum den 25. März. Doch 'Heise' weist darauf hin, dass die gezeigte C-Struktur die Monate von 0 bis 11 zähle, sodass der Wert "TM.tm_mon=3" dem vierten Monat, also April entspricht. Die Tage hingegen gehen von 1 bis 31. Dies sei eine der vielen Seltsamkeiten in C.
Niederländische Beamte erklärten zum Vorgehen, dass zwei der primären Command-and-Control-Server von Emotet innerhalb der niederländischen Grenzen stehen würden. Sie würden ihren Zugang zu diesen beiden Servern nutzen, um ein mit einer "Zeitbombe" versehenes Emotet-Update auf alle infizierten Hosts aufzuspielen.
Laut den Berichten, die gegenüber der US-Website auch zwei mit Emotet vertraute Security-Firmen bestätigten, enthält dieses Update einen Zeitbomben-ähnlichen Code. Dieser werde die Malware am 25. April 2021 um 12 Uhr (Ortszeit des jeweiligen Computers) deinstallieren. Das Bundeskriminalamt plane dasselbe Vorgehen für die in Deutschland stationierten C&C-Server des Cybercrime-Netzwerks.

IT-Fachleute sollen das Zeitfenster dringend nutzen

Dieses Vorgehen, wenn es so funktioniere, werde "Emotet effektiv zurücksetzen", erklärte Security-Experte Randy Pargman gegenüber 'ZDnet'. "Es zwingt die Bedrohungsakteure von vorne anzufangen und zu versuchen, das System von Grund auf neu aufzubauen. Und es gibt den IT-Mitarbeitern in Unternehmen auf der ganzen Welt die Chance, ihre infizierten Computer zu lokalisieren und zu bereinigen", so Pargman.
Aber Emotet-Hosts, auf die Cybercrime-Banden bereits Zugriff hätten, würden gefährdet bleiben. Pargman fordert Unternehmen nun dringend auf, das Zeitfenster bis zum Tag der Deinstallation von Emotet zu nutzen, um interne Netzwerke auf die Malware zu untersuchen. Nachdem sich Emotet selbst deinstalliert habe, würden solche Untersuchungen schwieriger durchführbar.
Update 16.55 Uhr: Der Artikel wurde um die Erklärung von 'Heise' zum Datum der Deinstallation ergänzt.

Loading

Mehr erfahren

Mehr zum Thema

image

Amherd: "Es gibt ein Interesse, die Konferenz zu sabotieren"

Die Ukraine-Konferenz macht die Schweiz zu einer Zielscheibe für Cyberangriffe, was aber nicht anders zu erwarten war.

publiziert am 10.6.2024
image

Apple tüftelt an eigenem Passwort­manager

Angeblich will Apple diese Woche eine eigene App zum Speichern von Kennwörtern lancieren. Sie soll Teil der wichtigsten Betriebssysteme des Konzerns werden.

publiziert am 10.6.2024
image

Quellcode von New York Times gestohlen

Im Januar wurden der Zeitung interne Daten aus Github-Repositories gestohlen. Darunter befand sich auch der Quellcode, der jetzt geleakt wurde.

publiziert am 10.6.2024
image

Schluss mit schwachen und kompromittierten Passwörtern in Active Directory

Passwörter sind immer noch die wichtigste Methode zur Authentifizierung von Nutzern und zur Absicherung des Zugriffs auf Daten Ihrer Organisation. Das macht sie aber auch zu beliebten Zielen der Cyberkriminellen. Doch es gibt Tools und Methoden, um die Passwortsicherheit wirkungsvoll zu verbessern.