Die Schadsoftware Emotet (Trojaner und Ransomware) war recht erfolgreich und hat auf befallenen Systemen E-Mail-Adressen abgegriffen. Zum 25. April 2021 wurde die Emotet-Malware automatisch von Windows-Maschinen entfernt. Jetzt hat das FBI 4 Millionen E-Mail-Adressen, die man während der Beschlagnahme mit geloggt hat, an die Webseite Have I Been Pwned übergeben. Dort kann man nachsehen, ob die Adressen kompromittiert sind.
Anzeige
Troy Hunt, der Betreiber der Webseite Have I Been Pwned (kurz HIBP) hat diese Woche auf Twitter die Information veröffentlicht, dass das FBI ihm für HIBP insgesamt 4 Millionen E-Mail-Adressen zur Verfügung gestellt habe. Ziel sei es, die Öffentlichkeit bzw. Opfer über die mögliche Kompromittierung zu informieren.
Von den 4.324.770 zur Verfügung gestellten E-Mail-Adressen, die aus verschiedenen Ländern stammen, waren bereits 39% bekannt und in der HIBP-Datenbank enthalten.
- Die E-Mail-Adressen samt Anmeldeinformationen wurden von Emotet für den Versand von Spam über die Mail-Provider der Opfer gespeichert.
- Weiterhin sammelte Emotet in Browsern gespeicherte Web-Zugangsdaten von Opfern, um spätere Anmeldungen zu beschleunigen.
Troy Hunt hat alle Daten in seine Seite Have I Been Pwned integriert, so dass potentielle Opfer prüfen können, ob sie betroffen sind. Normalerweise erscheint nach Eingabe der E-Mail-Adresse die Information, ob diese aus einem Datenleck bekannt ist. Im aktuellen Fall hat Troy Hunt den Datenbestand aber als "Sensitive Breach" eingestuft. Nur der Besitzer einer E-Mail-Adresse erhält die Information über eine Mail, falls die Adresse durch Emotet gesammelt wurde. Dazu muss er auf der Webseite notify me diese E-Mail-Adresse eingeben.
Anzeige
Notify me on Have I Been Pawned
Betroffene E-Mail-Konten werden dann über diese E-Mail-Adresse benachrichtigt, dass die Zugangsdaten durch Emotet abgegriffen worden seien. heise berichtet, dass auch die Website der niederländischen Polizei einen solchen Dienst anbiete. In Zusammenarbeit mit dem FBI wurden die folgenden Empfehlungen für diejenigen erstellt, die sich in dieser Datensammlung wiederfinden:
- Halten Sie Sicherheitssoftware wie Antivirenprogramme mit aktuellen Definitionen auf dem neuesten Stand. Halten Sie Betriebssysteme und Software gepatcht.
- Ändern Sie das Passwort Ihres E-Mail-Kontos. Ändern Sie auch die Passwörter und Sicherheitsfragen für alle Konten, die Sie entweder in Ihrem Posteingang oder in Ihrem Browser gespeichert haben, insbesondere bei sensitiven Onlinekonten (z.B. für Bankenkonten).
Für Administratoren mit betroffenen Anwendern sind die von DFN Cert veröffentlichten YARA-Regeln zu beachten, die auch die vom deutschen BKA veröffentlichten Regeln beinhalten schreibt Hunt.Zudem empfiehlt sich die Verwendung unterschiedlicher Anmeldeinformationen bei den diversen Online-Konten (also nie das gleiche Passwort). Ob man dies in einem Passwort-Manager speichert, weil man sich die starken, und eindeutigen Passwörter nicht merken kann, muss jeder selbst entscheiden (es gab zu viele Datenlecks und Hacks aus diesem Bereich – ich führe eine Papierliste). Die weitere Empfehlung: Schalten Sie die 2-Faktor-Authentifizierung ein, sofern verfügbar (obwohl das kein Allheilmittel ist.
Emotet: Ein Rückblick
Emotet ist eine Familie von Computer-Schadprogrammen in Form von Makroviren, welche die Empfänger über den Anhang sehr echt aussehender E-Mails mit Trojanern infizieren. Wenn ein Empfänger die Anlage bzw. den Anhang der E-Mail öffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausführung gebracht.
Die Emotet-Gruppe war für zahlreiche erfolgreiche Ransomware-Angriffe auf Firmen, Behörden und Institutionen weltweit verantwortlich. Emotet galt als derzeit gefährlichste Schadsoftware weltweit und hat neben Computern hunderttausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert.
Emotet besaß als sogenannter „Downloader" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen „Botnetzes" wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy" gegen Entgelt angeboten. Deshalb kann das kriminelle Geschäftsmodell von Emotet als „Malware-as-a-Service" bezeichnet werden. In den am Beitragsende verlinkten Artikeln habe ich die Malware umfangreich thematisiert.
Durch die Übernahme der Emotet Command & Control-Server (C&C) im Januar 2021 konnten die Strafverfolger die Nachladefunktion für Schadsoftware über die C&C-Server modifizieren, eigene Module auf den infizierten Opfer-Systemen installieren und die Schadfunktionen gleichzeitig deaktivieren. Bis April 2021 wurde aber protokolliert, welche Systeme mit Emotet infiziert waren. Erst zum 25. April 2021 wurde die Emotet-Schadsoftware von betroffenen Systemen deinstalliert (siehe Emotet Malware wurde automatisch am 25. April 2021 deinstalliert).
Ähnliche Artikel:
Cryptolaemus und der Kampf gegen Emotet
EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate
Warnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)
Emotet wütet bei der Studienstiftung des deutschen Volkes
Emotet-Trojaner/Ransomware weiter aktiv
Microsoft warnt vor massiver Emotet-Kampagne
Emotet-Trojaner kann Computer im Netzwerk überlasten
Emotet Malware als vermeintliches Word-Update getarnt
Emotet-Trojaner-Befall in Berliner Oberlandesgericht
Emotet-Infektion an Medizinischer Hochschule Hannover
Emotet C&C-Server liefern neue Schadsoftware aus–Neustadt gerade infiziert
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet zielt auf Banken in DACH
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt
Neu Emotet-Kampagne zu Weihnachten 2020
BKA: Infrastruktur der Emotet-Schadsoftware übernommen und zerschlagen
Emotet deinstalliert sich angeblich am 25. April 2021
Details zur Emotet Deinstallation durch Strafverfolger
Emotet Malware wurde automatisch am 25. April 2021 deinstalliert
Anzeige
Gibt es eigentlich auch die Funktion eine ganze Domain zu prüfen?
Das mit der Einzeladresse ist zwar schön, hilft einer Firma mit unzähligen Mailadressen und ggf. unterschiedlichen Domains aber nur bedingt weiter.
Ja gibt es direkt auf der Seite haveibeenpwned gibt es eine Domain suche.
Auf der Webseite steht:
"Get notified when future pwnage occurs and your account is compromised. "
Das ist ja dann die nächste Datenbank, die es zu kapern gilt.
^^
Oder ?
Aber dort ist doch dann keinerlei Passwort zu den entsprechenden E-Mail-Adressen hinterlegt…oder was möchtest Du uns damit sagen?
Naja, immerhin entsteht dadurch eine Datenbank verifizierter E-Mail-Empfänger, die ein "Microsoft Regional Director" in die Hände bekommt. Was wird der wohl damit machen? Werbung für Microsoft 365 verschicken?
Genauso kritisch sehe ich das Sammeln von Passwörtern "Pwned Passwords" auf der selben Webseite. Somt könnten also Mailadresse und Passwörter über einen Algorhytmus kombiniert und ausgewertet werden.
Ich halte diese Methoden für sehr fragwürdig.
Schön, dass es auch mal jemand anders kritisch(er) sieht. Ich habe mich nämlich auch schon öfters bei diesen diversen "Bin-ich-betroffen-Prüfungsseiten" gefragt, was denn mit meiner E-Mail-Adresse dort nun wirklich (!) geschieht. Wird sie wirklich nur temporär abgeglichen und zu einer kurzen Prüfung verwendet, oder eben doch irgendwo (vorübergehend?) gespeichert? Weitergeleitet…? Mag sein, dass ich (und wohl einige andere mehr) inzwischen etwas paranoid geworden sind. Woher das wohl kommt…?! ;-) Übrigens sind auch diese ganzen Online-Rechtschreib- und Übersetzungshilfen und -prüfungen in diesem Zusammenhang mehr als kritisch zu hinterfragen. Gibt bestimmt eine Menge unbedarfter Sekretärinnen, die voller Freude jedes geschäftliche Dokument dort mal schnell hochladen und mal eben überprüfen lassen…
Die Adressen ohne Passwort reichen doch schon aus für Spamversand.
Ich würde meine Adresse ja prüfen wollen. Wenn die aber gespeichert wird dann nicht.
Zumal mir GMX eine Adresse gesperrt hatte, ich musste dort anrufen um sie wieder freizuschalten. Da wurde offenbar das, zugegebenermaßen schwache Passwort, geknackt. Und dann das Konto zum Spamversand genutzt.
Die Kenntnis der Adresse reichte da offenbar.
Naja….wäre das Passwort nicht "zugegebenermaßen schwach" gewesen, hätte die reine Kenntnis der Adresse wohl nicht gereicht.
Gut, das mit HIBP muss ja jeder selber für sich entscheiden.
Mich hat da im letzten Jahr eher beunruhigt wie offen (und auch lange) mitunter Zettel mit diversen Daten von mir auf Restaurant-Tischen herumlagen (da sie die Bedienung nicht umgehend mitgenommen hat).
"Mich hat da im letzten Jahr eher beunruhigt wie offen (und auch lange) mitunter Zettel mit diversen Daten von mir auf Restaurant-Tischen herumlagen (da sie die Bedienung nicht umgehend mitgenommen hat)."
Das Thema hat sich dann demnächst mit den beiden "supertollen Covid-Eincheck-Apps" eh erledigt! Nur, dass dann eben keine Zettel mehr auf Tischen, oder sonst wo rumfliegen, sondern dann mehr oder weniger das gesamte "Outdoor-Leben" minutiös erfasst und irgendwo abgespeichert wird… Die "Bürgernummer" ist auch beschlossene Sache. Demnächst Ausweisdaten und Krankenakte auf dem Smartie… Soll heißen, die Infrastruktur der digitalen Vollüberwachung ist bereits gelegt und muss in Zukunft nur noch mit (noch mehr) Leben gefüllt werden… Dann muss die Polizei (verbotenerweise) in Zukunft keine Zettel aus der Gastronomie mehr durchforsten, falls sich mal wieder eine Straftat davor ereignet hat, sondern kann das bequem gleich mit dem Handy direkt vor Ort tun… (Bin evtl. doch wirklich etwas paranoid (geworden) inzwischen…!!??) ;-)
"Die Kenntnis der Adresse reichte da offenbar."
Das wohl nicht, aber eben die Kombi mit Passwort-Datenbanken und einem Algorhytmus. Für Login-Versuche zu emulieren, braucht man nicht mal Online-Versuche zu starten, die meist nach einer geringen Anzahl Fehlversuche den Account sperren würden. Da gibt es andere Möglichkeiten.
Scheint mir fast, als hätte das Geschäft der geklauten Daten in den letzten Monaten stark zugenommen. Meint Ihr das kann damit zusammenhängen, dass jetzt mehr Leute aus privaten, eher ungeschützteren (Heim-)Netzwerken arbeiten und die Betrüger da ein großes Potential gesehen haben?
Am Schlimmsten finde ich ja die Masche, wo erst Telefonnummern erbeutet wurden und dann von dort angebliche Sendungsverfolgungs-Links per SMS verschickt wurden. Furchtbar, wenn ich daran denke, dass meine Mutter beinahe aus Spaß an der Freude drauf geklickt hätte.
Die Situation ist richtig erkannt. Seit der Pandemie werden verstärkt Beobachtungen in dieser Richtung gemacht. Hacker-Aktivitäten haben besonders das "Home-Office" im Visier.
Das mit den SMS-Sendungszeugs ist ja noch harmlos, eher nervig. Aber wenn morgens 1000 Leute aufstehen, sind 10 dabei, die drauf reinfallen.
Wir stellen mittlerweile fest, dass Mails mit Schadcode versehen im direkten Kontext zu vorher geführten Mailkommunikationen stehen und daher ein leichtes Spiel haben. Meist Dateianhänge als ZIP, die verschlüsselt sind, somit kaum ein (oder gar kein) Virenwächter erkennt, da verschlüsselte Anhänge nicht durchsucht werden können. Das Passwort wird dann in gleicher Mail aufgeführt. In der ZIP-Datei ist dann eine DOC mit ein paar VBS-Zeilen und passendem Powershell-Commands. Diese Methode wird gerade mal wieder gerne genutzt, um Trojan.Ursnif zu verbreiten.
Und spätestens dann kommt die eigene Mail-Adresse auf die Emoted-Liste. Was der Bot bisher nicht geschafft hat, hilft man doch gern ein bisschen nach
Wie bescheuert muss man sein …