Emotet-Malware ist zurück

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Schadsoftware Emotet (Trojaner und Ransomware) war recht erfolgreich und zahlreiche Systeme befallen. Strafverfolgern war es gelungen, die Infrastruktur des Botnets zur Verteilung der Malware zu hacken. Zum 25. April 2021 wurde die Emotet-Malware automatisch von Windows-Maschinen entfernt. War aber nicht von Dauer, denn die Schadsoftware Emotet ist zurück und baut ein neues Botnet auf.


Anzeige

Emotet: Ein Rückblick

Emotet ist eine Familie von Computer-Schadprogrammen in Form von Makroviren, welche die Empfänger über den Anhang sehr echt aussehender E-Mails mit Trojanern infizieren. Wenn ein Empfänger die Anlage bzw. den Anhang der E-Mail öffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausführung gebracht.

Die Emotet-Gruppe war für zahlreiche erfolgreiche Ransomware-Angriffe auf Firmen, Behörden und Institutionen weltweit verantwortlich. Emotet galt als derzeit gefährlichste Schadsoftware weltweit und hat neben Computern hunderttausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert.

Emotet besaß als sogenannter „Downloader" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen „Botnetzes" wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy" gegen Entgelt angeboten. Deshalb kann das kriminelle Geschäftsmodell von Emotet als „Malware-as-a-Service" bezeichnet werden. In den am Beitragsende verlinkten Artikeln habe ich die Malware umfangreich thematisiert.

Im Januar 2021  konnten Strafverfolger die Emotet Command & Control-Server (C&C) übernehmen und die Nachladefunktion für Schadsoftware über die C&C-Server modifizieren, eigene Module auf den infizierten Opfer-Systemen installieren und die Schadfunktionen gleichzeitig deaktivieren. Ab da konnten die Opfer-Systeme nur noch mit den kontrollierten C&C-Servern kommunizieren. Am 25. April 2021 wurde die Infrastruktur abgeschaltet und die Malware auf infizierten Systemen entfernt (siehe Emotet Malware wurde automatisch am 25. April 2021 deinstalliert).


Anzeige

Emotet ist wieder zurück

Nun berichtet Cryptolaemus auf Twitter, dass die Malware wieder zurück sei. Die Gruppe beobachte, dass Bots anfangen, über das sogenannte Epoch 4-Botnet zu spammen, um die Malware zu verbreiten. Bisher wurde nur anhangbasierter Malspam mit .docm oder .xlsm Dateien (eigentlich XLSM mit einer AF-Vorlage "Excell") oder passwortgeschützten ZIPs (Operation ZipLock) beobachtet.

Emotet back

Die Gruppe Cryptolaemus teilt gemäß diesem Tweet Beispiele auf verschiedenen Plattformen. Die Kollegen von Bleeping Computer haben in nachfolgendem Tweet das Ganze aufgegriffen und in diesem Artikel zusammen gefasst.

EMOTET Malware

Sicherheitsforscher von Cryptolaemus, GData und Advanced Intel beobachten aktuell, dass die TrickBot-Malware einen Loader für Emotet auf infizierten Geräten ablegt. Der Emotet-Experte und Cryptolaemus-Forscher Joseph Roosen erklärte gegenüber BleepingComputer aber, dass es keine Anzeichen dafür gebe, dass das Emotet-Botnet Spamming-Aktivitäten durchführe, und auch keine bösartigen Dokumente gefunden wurden, die die Malware verbreiten.

Bleeping Computer vermutet, dass das Fehlen von Spamming-Aktivitäten wahrscheinlich darauf zurückzuführen ist, dass die Emotet-Infrastruktur von Grund auf neu aufgebaut wird. Gleichzeitigt könnten neue Antwortketten-E-Mails von den Opfern in zukünftigen Spam-Kampagnen gestohlen werden. Auch The Record hat einen Artikel mit Details veröffentlicht.

Das BSI hat die Seite Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen mit Hinweisen, wie man sich schützen kann, online gestellt.

Ähnliche Artikel:
Cryptolaemus und der Kampf gegen Emotet
EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate
Warnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)
Emotet wütet bei der Studienstiftung des deutschen Volkes
Emotet-Trojaner/Ransomware weiter aktiv
Microsoft warnt vor massiver Emotet-Kampagne
Emotet-Trojaner kann Computer im Netzwerk überlasten
Emotet Malware als vermeintliches Word-Update getarnt
Emotet-Trojaner-Befall in Berliner Oberlandesgericht
Emotet-Infektion an Medizinischer Hochschule Hannover
Emotet C&C-Server liefern neue Schadsoftware aus–Neustadt gerade infiziert
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet zielt auf Banken in DACH
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt
Neu Emotet-Kampagne zu Weihnachten 2020
BKA: Infrastruktur der Emotet-Schadsoftware übernommen und zerschlagen
Emotet deinstalliert sich angeblich am 25. April 2021
Details zur Emotet Deinstallation durch Strafverfolger
Emotet Malware wurde automatisch am 25. April 2021 deinstalliert
Prüfung: Wurde meine E-Mail-Adresse durch die Schadsoftware Emotet erbeutet?


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Emotet-Malware ist zurück

  1. NoName sagt:

    Hallo Herr Born,

    dieser Kommentar muss nicht veröffentlicht werden:

    Live-Aktivitäten von Emotet: https://feodotracker.abuse.ch/browse/emotet/

    Eine erste Analyse: https://isc.sans.edu/forums/diary/Emotet+Returns/28044/

    Einer der ersten Meldungen kam sogar von einem dt Institut:
    https://cyber.wtf/2021/11/15/guess-whos-back/

    mfg

  2. 1ST1 sagt:

    Braucht das jemand?

    • Günter Born sagt:

      Die Urheber offenbar schon …

    • NoName sagt:

      Ich hatte die Vorstellung, dass in einigen Ländern wie D die Polizei gegen Cyber-Kriminelle vorgehen würde. In der oben genannten Liste kann man sehen, dass es manchmal mehrere Tage dauert, bis dt ISP Emotet offline nehmen.

      Genauso kann die Geschwindigkeit von Google-Blacklists geprüft werden. Auch hier ist die Hoffnung, dass eine erkannte Bedrohung innerhalb von wenigen Stunden in die Blacklist aufgenommen wird, naiv bis purer Idealismus.

      Es ist auch klar, dass es Länder gibt, die als "save habour" für Crooks agieren.

  3. Tommi sagt:

    Sarkasmus /ON:
    "Wie komme ich am einfachsten (und risikoärmsten) an MEIN GELD, was IN DEINER GELDBÖRSE steckt …"

    Verschlüsselung und Erpressung sind halt hier das Mittel der Wahl … :-(

    Und trotzdem kann man (dank erpresstem Geld) gemütlich am Pool sein Bierchen zischen und über die "blöden User und Möchtegern-Admins" lachen … Prost …. ;-)

    Sarkasmus /OFF:

  4. Anonymous sagt:

    @Günni
    hat auch das BSI schon mit seinem neuen PGP Key die eine emotet Warnung verschickt?
    https://www.golem.de/news/verschluesselung-bsi-verschickt-privaten-pgp-schluessel-2111-161073.html
    :p

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.