{"id":228962,"date":"2020-03-02T08:12:01","date_gmt":"2020-03-02T07:12:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228962"},"modified":"2020-03-02T17:25:28","modified_gmt":"2020-03-02T16:25:28","slug":"cryptolaemus-und-der-kampf-gegen-emotet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/02\/cryptolaemus-und-der-kampf-gegen-emotet\/","title":{"rendered":"Cryptolaemus und der Kampf gegen Emotet"},"content":{"rendered":"

[English<\/a>]Eine Gruppe von Sicherheitsforschern und Administratoren versucht seit einiger Zeit Angriffe durch die Emotet-Schadsoftware abzuwehren. Jetzt ist ein Artikel \u00fcber diesen Sachverhalt erschienen. Interessant finde ich die Referenzen auf die unter dem Namen Cryptolaemus agierende Gruppe von Sicherheitsforschern, die auch aktualisierte Informationen zu C&C-Servern publizieren.<\/p>\n

<\/p>\n

Die Emotet-Schadsoftware<\/h2>\n

\"\"Emotet<\/a> war urspr\u00fcnglich ein Banking-Trojaner, der erstmals im Juni 2014 durch Trend Micro identifiziert wurde. Inzwischen steht eine komplette Cyber-Gruppe hinter dieser Schadsoftware und entwickelt diese weiter. Im Sommer 2019 leistete die Gruppe sich sogar den 'Luxus', ihre Infrastruktur still zu legen, um Urlaub zu machen (siehe CERT-Bund: Emotet ist zur\u00fcck, C&C-Server wieder aktiv<\/a>).<\/p>\n

Seit Ende 2018 ist Emotet auch in der Lage, Inhalte aus E-Mails auszulesen und zu verwenden. Das erh\u00f6ht die Gef\u00e4hrlichkeit, da diese E-Mail-Adresse verwendet werden, um neue Opfer zu finden. Die Empf\u00e4nger erhalten in Folge E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie zuvor in Kontakt standen.<\/p>\n

Da Namen und Mailadressen von Absender und Empf\u00e4nger in Betreff, Anrede und Signatur zu fr\u00fcheren E-Mails stimmig sind, verleiteten solche Mails auch sensibilisierte Nutzer zum \u00d6ffnen des sch\u00e4dlichen Dateianhangs oder des in der Nachricht enthaltenen Links.<\/p>\n

Die Emotet-Hinterm\u00e4nner benutzen dies, um neue Schadfunktionen zur Verschl\u00fcsselung von Daten als Ransomware auszuliefern. Unter anderem waren das Berliner Kammergericht und der heise-Verlag Opfer von Emotet-Infektionen. Eine Suche hier im Blog f\u00f6rdert eine Reihe Treffer zu Emotet-Infektionen zutage.<\/p>\n

In Einzelf\u00e4llen kam es bei den Betroffenen dadurch zu Ausf\u00e4llen der kompletten IT-Infrastruktur und zu Einschr\u00e4nkungen von kritischen Gesch\u00e4ftsprozessen. Da dies Sch\u00e4den in Millionenh\u00f6he nach sich zieht, warnen CERT-Bund und das BSI explizit vor diesem Schadprogramm (siehe CERT-Bund\/BSI-Warnung vor Emotet-Trojaner\/Ransomware<\/a>).<\/p>\n

Kampf der Cryptolaemus-Gruppe gegen Emotet<\/h2>\n

Cryptolaemus sind Marienk\u00e4fer, die einen unb\u00e4ndigen Apetit auf Blattl\u00e4use entwickeln. Und diese Tiergattung mutierte zum Namensgeber der Gruppe aus Sicherheitsforschern und Administratoren, die die Emotet-Entwicklung verfolgen, Informationen und Gegenma\u00dfnahmen publizieren und so die Emotet-Kampagnen massiv st\u00f6ren. Catalin Cimpanu hat ein Interview mit der Gruppe gef\u00fchrt und dieses als Artikel auf ZDNet ver\u00f6ffentlicht.<\/p>\n

\n

Here's my interview and the history of Cryptolaemus, the white-hat group fighting Emotethttps:\/\/t.co\/m0hZh1VmE4<\/a> pic.twitter.com\/0PcnRp4OOz<\/a><\/p>\n

\u2014 Catalin Cimpanu (@campuscodi) February 29, 2020<\/a><\/p><\/blockquote>\n