Security-Fachleute mahnen Wachsamkeit an

Schadsoftware Emotet treibt erneut ihr Unwesen

LANline-Cartoon Security
© Wolfgang Traub

Anfang des Jahres meldete das Bundeskriminalamt, Ermittlungsbehörden hätten in einer gemeinsamen Aktionen die Infrastruktur von Emotet, einer der gefährlichsten Malware-Varianten, zerschlagen. Nun aber berichten Security-Fachleute, dass die Malware wieder aufgetaucht ist.

„Emotet wird derzeit über TrickBot verbreitet, das wir der eCrime-Angreifergruppe Wizard Spider zuschreiben“, sagt Adam Meyers, SVP of Intelligence bei CrowdStrike. „Wie wir vermutet haben, hatte die Zerschlagung des Emotet-Netzwerks durch Europol im Januar 2021 nur eine vorübergehende Wirkung.“ Wizard Spider sei eine hochentwickelte kriminelle Gruppe, deren Arsenal auch Malware wie Ryuk, Conti und Cobalt Strike umfasse. „Die Übernahme von Emotet durch Wizard Spider zeigt eindrucksvoll, wie widerstandsfähig das eCrime-Milieu mittlerweile geworden ist“, so Meyers.

Denis Parinov und Oleg Kupreev, Sicherheitsexperten bei Kaspersky, bestätigen die neuen Angriffsaktivitäten: „Kürzlich haben wir tatsächlich neue Samples dieser Familie ‚in the Wild‘ (in freier Laufbahn, d.Red.) beobachtet, aber im Moment gehen wir nicht davon aus, dass die Angriffe so massiv sind wie vor der Verhaftung der Emotet-Hintermänner. Derzeit sehen wir etwa 5.500 Angriffe täglich.“

Allein in Deutschland hat Emotet laut Angaben von Trend Micro Schäden von mindestens 14,5 Millionen Euro verursacht. „Das Geschäftsmodell von Emotet war – aus Untergrundsicht – eines der erfolgreichsten der letzten Jahre“, kommentiert Richard Werner, Business Consultant bei Trend Micro. Eine Frage stellt sich nun: Handelt es sich um dieselben Täter wie letztes Mal, die nach dem Takedown lediglich zeitweise verunsichert waren? „Eine Möglichkeit wäre, dass diese ihr Geschäft einfach weitergegeben und verkauft haben, oder dieses gezielt eingesetzt wird, um einem möglichen Komplizen ein Alibi zu verschaffen“, so Werner.

„Emotet war vor einigen Jahren zwar eine sehr gefährliche Malware, gehörte jedoch zu einer früheren Generation von Malware, die Organisationen im Vergleich zu dem, was wir heute erleben, nur sehr begrenzten Schaden zufügte“, sagt Andreas Riepen, Head of Central and Eastern Europe beim IT-Sicherheitsanbieter Vectra AI. 2014 hatte sich die Malware hauptsächlich auf den Diebstahl von Bankdaten konzentriert, danach kam sie hauptsächlich als „Loader“ zum Einsatz, also als Schadcode, der nach der Infektion eines Endpunkts andere Schadsoftware nachlädt. „In den letzten 18 Monaten haben wir festgestellt, dass dieser Loader TrickBot und Qbot auf die PCs der Opfer lädt“, so Riepen.

Es sei keine Überraschung, dass Trickbot und ihre verzweigte Infrastruktur zum Einsatz kommen, um die auferstandene Emotet-Malware auszuliefern, meint Lothar Geuenich, Regional Director Central Europe bei Check Point Software: „Man kennt sich. Auf diese Weise wird Emotet schnell in Firmennetzwerken auf der ganzen Welt ausreichend Fuß fassen können, um einsatzbereit zu sein.“
 
Schon im Juni habe man, so Vectra-Mann Riepen, neue Spuren von Emotet gefunden. Es müsse also irgendwo eine Sicherung des Schadcodes vorgelegen haben. „Zu denken, dass [Emotet] für immer weg wäre, wäre ein Fehler. Viele Leute haben sich im Laufe der Jahre mit dem Code und den Tools beschäftigt“, kommentiert Riepen.
 
Interessant sei, dass die seit 2014 verwendeten Angriffstechniken sehr ähnlich sind. Deshalb seien Security-Tools, die – wie Vectras Software – maschinelles Lernen nutzen, um das Verhalten von Malware zu erkennen, heute „äußerst relevant“.

Das neue Emotet-Sample fällt laut dem Bochumer Security-Anbieter G Data durch mehrere technische Ähnlichkeiten zur ursprünglichen Schadsoftware auf. Der Quellcodevergleich zeige ähnliche Strukturen, es gebe aber auch Unterschiede: Der Netzwerkverkehr sei zwar weiterhin verschlüsselt, doch nun finde HTTPS mit einem selbst-signierten Zertifikat Verwendung. Die ersten Spam-Aktivitäten sind laut G Data inzwischen angelaufen: Derzeit werde Emotet in *.docm und *.xlsm- sowie passwortgeschützten ZIP-Anhängen verteilt.  
 
Das Unterbrechen der Infrastruktur könne Cyberkriminelle um Monate oder sogar Jahre zurückwerfen, so Vectra-Mann Riepen. Doch das erneute Aufkommen von Emotet sei eine gute Erinnerung daran, dass Unternehmen und Sicherheitsfachleute selbst bei bedeutenden Siegen über kriminelle Gruppen weiter wachsam bleiben müssen.


Verwandte Artikel

Vectra Networks GmbH, CrowdStrike GmbH, TREND MICRO Deutschland GmbH

Cybercrime