"Malware-König" Emotet ist zurück

16. November 2021, 16:13
  • security
  • cybercrime
  • international
  • schweiz
image

Anfang 2021 vermeldete Europol die Ausschaltung von Emotet. Jetzt ist die Malware wieder da, bestätigt uns das NCSC. In der Schweiz gebe es aber noch keine Aktivitäten.

Als "König der Schadsoftware" bezeichnete der Präsident des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) einmal Emotet. Anfang 2021 meldete Europol, mit der internationalen "Operation Ladybird" die Kontrollinfrastruktur des berüchtigten Trojaners ausser Gefecht gesetzt zu haben. Server wurden beschlagnahmt, es kam zu ersten Verhaftungen. Weiter sei durch die Sicherheitsbehörden ein Update implementiert worden, welches am "D-Day" 25. April 2021 die Malware von allen infizierten Computern entfernen sollte.
Nun ist Emotet zurück. Dies melden Cybersecurity-Experten von Cryptolaemus, G Data und Advintel. "Das neue Emotet-Sample fällt durch mehrere technische Ähnlichkeiten zu der ursprünglichen Schadsoftware auf. Insbesondere ein Vergleich des Quellcodes zeigt ähnliche Strukturen. Es gibt aber auch Unterschiede: Im Gegensatz zu den früher bekannten Emotet-Varianten, wird der Netzwerkverkehr zwar weiterhin per HTTPS verschlüsselt, es wird jedoch ein selbst-signiertes Zertifikat genutzt", schreibt G Data in einer Mitteilung. Dies sei erstmals am 14. November bemerkt worden. 
Emotet nutze nach derzeitigen Erkenntnissen die Infrastruktur der Trickbot-Malware. "Das eigene Botnetz wurde im Zuge des Takedowns offenbar nachhaltig zerstört", so G Data. Der Fedeo-Tracker des Malware-Tracking-Forschungsprojekts Abuse.ch zeigt zurzeit mehrere aktive Command&Control-Server von Emotet an. 
Laut einem Tweet von Cryptolaemus würde das Emotet-Botnetz bereits wieder Malware via E-Mail verbreiten. Dieses versende präparierte Dokumente als .docm, xlsm oder passwortgeschützte ZIPs an potenzielle Opfer. G Data Advanced Analytics hat in einem Blogbeitrag detaillierte "Indicators of Compromise" veröffentlicht.
Das Nationale Zentrum für Cybersicherheit (NCSC) bestätigt auf Anfrage von inside-it.ch die Beobachtungen der verschiedenen Sicherheitsforscher zur Rückkehr von Emotet. "Das NCSC kann dies bestätigen, sieht jedoch momentan noch keine Emotet-Aktivitäten in der Schweiz."
Nach dem grossen Schlag gegen die Cyberkriminellen und der vermeldeten Ausschaltung der Malware durch Europol – wie kommt es jetzt zum "Comeback" nach nur 10 Monaten? "Das NCSC geht davon aus, dass nicht sämtliche Mitglieder der Emotet-Gruppe verhaftet wurden und sie sich nun im Hintergrund wieder neu organisiert haben. Es ist anzunehmen, dass die verbleibenden Mitglieder das Botnetz neu aufgebaut haben und ihr Business wieder aktiviert haben", schreibt uns die Cybersecurity-Behörde.
Das NCSC empfehle Unternehmen betreffend Emotet sicherzustellen, dass alle erforderlichen Schutzmassnahmen umgesetzt werden. "Dazu gehören das Einhalten des Grundschutzes wie Virenschutz, Firewall, das regelmässige Updaten der Hard- und Software und das regelmässige Speichern der Daten auf einem externen Datenspeicher."

Loading

Mehr zum Thema

image

Mac-Netzteile sind knapp

Je höher die Leistung, desto wahrscheinlicher verspätet sich die Lieferung der Mac-Netzteile.

publiziert am 5.8.2022
image

Insurtech-Startup Grape sichert sich 1,7 Millionen Franken

Der Schweizer SaaS-Anbieter will mit dem Geld aus einer Pre-Seed sein Produkt weiterentwickeln und das Team ausbauen.

publiziert am 5.8.2022
image

Wie es zur Warnung vor Kaspersky kam

Dokumente des deutschen Amtes für Cybersicherheit stützen die Position von Kaspersky. Der Security-Anbieter kritisierte die BSI-Warnung als politischen Entscheid.

publiziert am 5.8.2022
image

Infoblox hat neuen europäischen Channelchef gefunden

Ashraf Sheet hatte das Unternehmen Anfang Jahr verlassen. Sein Nachfolger Aric Ault will das Geschäft über den Channel weiter ausbauen.

publiziert am 5.8.2022