[English]Eine Gruppe von Sicherheitsforschern und Administratoren versucht seit einiger Zeit Angriffe durch die Emotet-Schadsoftware abzuwehren. Jetzt ist ein Artikel über diesen Sachverhalt erschienen. Interessant finde ich die Referenzen auf die unter dem Namen Cryptolaemus agierende Gruppe von Sicherheitsforschern, die auch aktualisierte Informationen zu C&C-Servern publizieren.
Anzeige
Die Emotet-Schadsoftware
Emotet war ursprünglich ein Banking-Trojaner, der erstmals im Juni 2014 durch Trend Micro identifiziert wurde. Inzwischen steht eine komplette Cyber-Gruppe hinter dieser Schadsoftware und entwickelt diese weiter. Im Sommer 2019 leistete die Gruppe sich sogar den 'Luxus', ihre Infrastruktur still zu legen, um Urlaub zu machen (siehe CERT-Bund: Emotet ist zurück, C&C-Server wieder aktiv).
Seit Ende 2018 ist Emotet auch in der Lage, Inhalte aus E-Mails auszulesen und zu verwenden. Das erhöht die Gefährlichkeit, da diese E-Mail-Adresse verwendet werden, um neue Opfer zu finden. Die Empfänger erhalten in Folge E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie zuvor in Kontakt standen.
Da Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur zu früheren E-Mails stimmig sind, verleiteten solche Mails auch sensibilisierte Nutzer zum Öffnen des schädlichen Dateianhangs oder des in der Nachricht enthaltenen Links.
Die Emotet-Hintermänner benutzen dies, um neue Schadfunktionen zur Verschlüsselung von Daten als Ransomware auszuliefern. Unter anderem waren das Berliner Kammergericht und der heise-Verlag Opfer von Emotet-Infektionen. Eine Suche hier im Blog fördert eine Reihe Treffer zu Emotet-Infektionen zutage.
Anzeige
In Einzelfällen kam es bei den Betroffenen dadurch zu Ausfällen der kompletten IT-Infrastruktur und zu Einschränkungen von kritischen Geschäftsprozessen. Da dies Schäden in Millionenhöhe nach sich zieht, warnen CERT-Bund und das BSI explizit vor diesem Schadprogramm (siehe CERT-Bund/BSI-Warnung vor Emotet-Trojaner/Ransomware).
Kampf der Cryptolaemus-Gruppe gegen Emotet
Cryptolaemus sind Marienkäfer, die einen unbändigen Apetit auf Blattläuse entwickeln. Und diese Tiergattung mutierte zum Namensgeber der Gruppe aus Sicherheitsforschern und Administratoren, die die Emotet-Entwicklung verfolgen, Informationen und Gegenmaßnahmen publizieren und so die Emotet-Kampagnen massiv stören. Catalin Cimpanu hat ein Interview mit der Gruppe geführt und dieses als Artikel auf ZDNet veröffentlicht.
Here's my interview and the history of Cryptolaemus, the white-hat group fighting Emotethttps://t.co/m0hZh1VmE4 pic.twitter.com/0PcnRp4OOz
— Catalin Cimpanu (@campuscodi) February 29, 2020
Dort wird beispielsweise beschrieben, was eine Emotet-Infektion heutzutage bedeutet. Liegt eine Emotet-Infektion vor, bedeutet dies in der Regel, dass die Schadsoftware versucht, sich vom ursprünglich infizierten System im gesamten Netzwerk auszubreiten. Inzwischen verwendet Emotet sogar eine neue Methode zur Verbreitung über WiFi-Verbindungen einführen, die es bei keiner anderen Malware-Operation gibt.
Einerseits sind die von Catalin Cimpanu geposteten Informationen zur Gruppe im Rahmen des Interviews zwar ganz nett. Spontan spannend fand ich aber den Hinweis auf deren Twitter-Kanal (@Cryptolaemus1), wo Informationen und Emotet-Neuigkeiten gepostetet werden. Und noch spannender ist die Webseite der Gruppe auf Pastebin, wo fast täglich Updates einlaufen. Dort finden sich z.B. aktualisierte Listen von Emotet C2-Servern und RSA-Keys. Hilfreich für Administratoren, die Emotet an der Arbeit hindern möchten.
Hinweise, wie man bei einer Infektion reagieren soll, finden sich im Blog-Beitrag FAQ: Reagieren auf eine Emotet-Infektion. Ergänzung: Und weil es hier passt – heise hat gerade diesen Artikel zu Emotet und den Folgen veröffentlicht. Die sind als Betroffene quasi Fachleute in Bezug auf die Folgen.
Ähnliche Artikel:
CERT-Bund/BSI-Warnung vor Emotet-Trojaner/Ransomware
FAQ: Reagieren auf eine Emotet-Infektion
Emotet zielt auf Banken in DACH
Sicherheitsinfos: Emotet-Scanner, WhatsApp etc. (5.2.2020)
Emotet-Trojaner-Befall in Berliner Oberlandesgericht
Emotet-Infektion an Medizinischer Hochschule Hannover
Emotet C&C-Server liefern neue Schadsoftware aus–Neustadt gerade infiziert
CERT-Bund: Emotet ist zurück, C&C-Server wieder aktiv
Anzeige
Den Twitter-Kanal beobachte ich schon länger, man könnte täglich die eigenen Proxys mit den IP-Listen füttern, aber wenn es so weit kommt, dass da eine davon aufgerufen wird, ist es wahrscheinlich eh schon zu spät. Aber immerhin, wir wissen jetzt, dass es "Ivan" ist. Na warte, von dir klemme ich ein Bild auf die Darts-Scheibe…
Das hier ist interessant, jetzt würde ich mir wünschen, es gäbe ein Tool, was man sich installieren kann, dass das Windows-OS um entsprechende Dateien/Services/RegEinträge/Hardware-IDs/… erweitert (ohne dass die tatsächlich da sind), dass ein Schädling glaubt, er würde in einer VM laufen… https://evasions.checkpoint.com/