"Malware-König" Emotet ist zurück

16. November 2021 um 16:13
  • security
  • cybercrime
  • international
  • schweiz
image

Anfang 2021 vermeldete Europol die Ausschaltung von Emotet. Jetzt ist die Malware wieder da, bestätigt uns das NCSC. In der Schweiz gebe es aber noch keine Aktivitäten.

Als "König der Schadsoftware" bezeichnete der Präsident des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) einmal Emotet. Anfang 2021 meldete Europol, mit der internationalen "Operation Ladybird" die Kontrollinfrastruktur des berüchtigten Trojaners ausser Gefecht gesetzt zu haben. Server wurden beschlagnahmt, es kam zu ersten Verhaftungen. Weiter sei durch die Sicherheitsbehörden ein Update implementiert worden, welches am "D-Day" 25. April 2021 die Malware von allen infizierten Computern entfernen sollte.
Nun ist Emotet zurück. Dies melden Cybersecurity-Experten von Cryptolaemus, G Data und Advintel. "Das neue Emotet-Sample fällt durch mehrere technische Ähnlichkeiten zu der ursprünglichen Schadsoftware auf. Insbesondere ein Vergleich des Quellcodes zeigt ähnliche Strukturen. Es gibt aber auch Unterschiede: Im Gegensatz zu den früher bekannten Emotet-Varianten, wird der Netzwerkverkehr zwar weiterhin per HTTPS verschlüsselt, es wird jedoch ein selbst-signiertes Zertifikat genutzt", schreibt G Data in einer Mitteilung. Dies sei erstmals am 14. November bemerkt worden. 
Emotet nutze nach derzeitigen Erkenntnissen die Infrastruktur der Trickbot-Malware. "Das eigene Botnetz wurde im Zuge des Takedowns offenbar nachhaltig zerstört", so G Data. Der Fedeo-Tracker des Malware-Tracking-Forschungsprojekts Abuse.ch zeigt zurzeit mehrere aktive Command&Control-Server von Emotet an. 
Laut einem Tweet von Cryptolaemus würde das Emotet-Botnetz bereits wieder Malware via E-Mail verbreiten. Dieses versende präparierte Dokumente als .docm, xlsm oder passwortgeschützte ZIPs an potenzielle Opfer. G Data Advanced Analytics hat in einem Blogbeitrag detaillierte "Indicators of Compromise" veröffentlicht.
Das Nationale Zentrum für Cybersicherheit (NCSC) bestätigt auf Anfrage von inside-it.ch die Beobachtungen der verschiedenen Sicherheitsforscher zur Rückkehr von Emotet. "Das NCSC kann dies bestätigen, sieht jedoch momentan noch keine Emotet-Aktivitäten in der Schweiz."
Nach dem grossen Schlag gegen die Cyberkriminellen und der vermeldeten Ausschaltung der Malware durch Europol – wie kommt es jetzt zum "Comeback" nach nur 10 Monaten? "Das NCSC geht davon aus, dass nicht sämtliche Mitglieder der Emotet-Gruppe verhaftet wurden und sie sich nun im Hintergrund wieder neu organisiert haben. Es ist anzunehmen, dass die verbleibenden Mitglieder das Botnetz neu aufgebaut haben und ihr Business wieder aktiviert haben", schreibt uns die Cybersecurity-Behörde.
Das NCSC empfehle Unternehmen betreffend Emotet sicherzustellen, dass alle erforderlichen Schutzmassnahmen umgesetzt werden. "Dazu gehören das Einhalten des Grundschutzes wie Virenschutz, Firewall, das regelmässige Updaten der Hard- und Software und das regelmässige Speichern der Daten auf einem externen Datenspeicher."

Loading

Mehr zum Thema

image

Ingram Micro erholt sich von Cyberangriff

Der IT-Distributor ist wieder voll funktionsfähig. Noch ist aber unklar, ob und was für Daten beim Ransomware-Angriff gestohlen wurden.

publiziert am 10.7.2025
imageAbo

100 Tage Meldepflicht: Das Bacs zieht erste Bilanz

Das Bundesamt für Cybersicherheit äussert sich zum Aufwand, den die Meldepflicht gebracht hat. Und gibt Zahlen zu den eingegangen Meldungen bezüglich Sektoren sowie Art der Angriffe bekannt.

publiziert am 10.7.2025
image

SAP patcht hoch­kritische Lücken

In Supplier Relationship Management gibt es eine Schwachstelle, die die höchste CVSS-Bewertung erhalten hat. Patches für diese und weitere schwerwiegende SAP-Lücken stehen zur Verfügung.

publiziert am 9.7.2025
imageAbo

Ingram Micro erleidet Ransomware-Angriff

Der IT-Grosshändler kämpft nach einer Cyberattacke mit Problemen. Die Website und die Bestellsysteme sind down. Der Vorfall wird derzeit untersucht.

publiziert am 7.7.2025