Startseite > Security > Emotet nach Pause wieder aktiv

Analyse von Cisco Talos

Emotet nach Pause wieder aktiv

1. Dezember 2020, 8:30 Uhr |

Wöchentliche Verteilung vom Spam-Nachrichten in 2020.

Ob Privatperson oder Unternehmen, Handwerksbetrieb oder Krankenhaus - Emotet ist und bleibt eine der am weitesten verbreiteten Malware-Typen weltweit. Um Antworten auf die Fragen zu erhalten, in welchem Monat es bisher die meisten Spam-Nachrichten gab, oder welche Schlagwörter für Emotet „erfolgreich" sind, hat Cisco Talos mehrere Domains untersucht, die Emotet zum Senden von Phishing-E-Mails verwendet.

Die Security-Experten von Cisco analysierten die von den Botnets ausgehenden E-Mails, um Einblicke in Umfang und Profil der Angriffe sowie deren Folgen für betroffene Unternehmen und Organisationen zu erhalten und ermittelten das Verhalten und das Volumen von Emotet von Januar bis Oktober 2020.

Emotet war Anfang des Jahres 2020 sehr aktiv und verschickte große Mengen bösartiger E-Mails. In der Frühphase der Corona-Pandemie nutzte sie bereits die Krise aus. Ab Februar dieses Jahres legte Emotet eine längere Pause ein, wobei mehrere Monate ein geringes Volumen von Spam-Mails zu beobachten war. Solche Pausen sind laut Einschätzung von Cisco Talos nicht ungewöhnlich, häufig entstehen dabei Emotet-Weiterentwicklungen. Seit Juli verzeichnet Cisco Talos wieder enorme Mengen an Spam-E-Mails, die bis zum heutigen Tag anhalten. Auffallend dabei ist, dass das Versenden von bösartigen E-Mails fast nur an Werktagen erfolgt, dann allerdings rund um die Uhr.

E-Mails, die schädliche Links oder Anhänge enthalten, verwenden mit extrem hohem Abstand am häufigsten das Wort „Rechnung“ in der Betreffzeile (mehr als drei von vier schädlichen E-Mails), das Wort „Covid“ folgt auf Platz drei, spielt aber nur eine untergeordnete Rolle. Diese Beobachtung von Cisco Talos stimmt mit vielen anderen Spam-Kampagnen überein.

Die meisten der mit Emotet verbundenen E-Mails enthalten bösartige Anhänge, die als Malware-Downloader fungieren. Die große Mehrheit der Anhänge nutzt infizierte Microsoft-Office-Dokumente (DOC, DOCX, XLS, XLSX). Die Experten haben zudem bösartige E-Mails mit ZIP-Archiven, PDFs und integrierten Hyperlinks beobachtet.

Cisco Talos hat in mehr als 200 verschiedenen Ländern infizierte Systeme identifiziert. Die umfangreiche Analyse der Security-Experten verdeutlicht, wie weit die Reichweite von Emotet ausgedehnt ist und, dass es praktisch jedes Land der Welt betrifft. Emotet-„Hotspots“ sind demnach vor allem Mexiko, Brasilien, Indien und Südafrika. In Europa sind zurzeit Spanien und Italien am stärksten betroffen.

Weitere Informationen stehen unter www.talosintelligence.com zur Verfügung.