Als "König der Schadsoftware" bezeichnete der Präsident des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) einmal Emotet. Anfang 2021 meldete Europol, mit der internationalen "Operation Ladybird" die Kontrollinfrastruktur des berüchtigten Trojaners ausser Gefecht gesetzt zu haben. Server wurden beschlagnahmt, es kam zu ersten Verhaftungen. Weiter sei durch die Sicherheitsbehörden ein Update implementiert worden, welches am "D-Day" 25. April 2021 die Malware von allen infizierten Computern entfernen sollte.

Nun ist Emotet zurück. Dies melden Cybersecurity-Experten von Cryptolaemus, G Data und Advintel. "Das neue Emotet-Sample fällt durch mehrere technische Ähnlichkeiten zu der ursprünglichen Schadsoftware auf. Insbesondere ein Vergleich des Quellcodes zeigt ähnliche Strukturen. Es gibt aber auch Unterschiede: Im Gegensatz zu den früher bekannten Emotet-Varianten, wird der Netzwerkverkehr zwar weiterhin per HTTPS verschlüsselt, es wird jedoch ein selbst-signiertes Zertifikat genutzt", schreibt G Data in einer Mitteilung. Dies sei erstmals am 14. November bemerkt worden. 

Emotet nutze nach derzeitigen Erkenntnissen die Infrastruktur der Trickbot-Malware. "Das eigene Botnetz wurde im Zuge des Takedowns offenbar nachhaltig zerstört", so G Data. Der Fedeo-Tracker des Malware-Tracking-Forschungsprojekts Abuse.ch zeigt zurzeit mehrere aktive Command&Control-Server von Emotet an. 

Laut einem Tweet von Cryptolaemus würde das Emotet-Botnetz bereits wieder Malware via E-Mail verbreiten. Dieses versende präparierte Dokumente als .docm, xlsm oder passwortgeschützte ZIPs an potenzielle Opfer. G Data Advanced Analytics hat in einem Blogbeitrag detaillierte "Indicators of Compromise" veröffentlicht.

Das Nationale Zentrum für Cybersicherheit (NCSC) bestätigt auf Anfrage von inside-it.ch die Beobachtungen der verschiedenen Sicherheitsforscher zur Rückkehr von Emotet. "Das NCSC kann dies bestätigen, sieht jedoch momentan noch keine Emotet-Aktivitäten in der Schweiz."

Nach dem grossen Schlag gegen die Cyberkriminellen und der vermeldeten Ausschaltung der Malware durch Europol – wie kommt es jetzt zum "Comeback" nach nur 10 Monaten? "Das NCSC geht davon aus, dass nicht sämtliche Mitglieder der Emotet-Gruppe verhaftet wurden und sie sich nun im Hintergrund wieder neu organisiert haben. Es ist anzunehmen, dass die verbleibenden Mitglieder das Botnetz neu aufgebaut haben und ihr Business wieder aktiviert haben", schreibt uns die Cybersecurity-Behörde.

Das NCSC empfehle Unternehmen betreffend Emotet sicherzustellen, dass alle erforderlichen Schutzmassnahmen umgesetzt werden. "Dazu gehören das Einhalten des Grundschutzes wie Virenschutz, Firewall, das regelmässige Updaten der Hard- und Software und das regelmässige Speichern der Daten auf einem externen Datenspeicher."