{"id":243449,"date":"2021-01-27T14:14:25","date_gmt":"2021-01-27T13:14:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=243449"},"modified":"2021-01-28T07:33:34","modified_gmt":"2021-01-28T06:33:34","slug":"bka-infrastruktur-der-emotet-schadsoftware-bernommen-und-zerschlagen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/27\/bka-infrastruktur-der-emotet-schadsoftware-bernommen-und-zerschlagen\/","title":{"rendered":"BKA: Infrastruktur der Emotet-Schadsoftware übernommen und zerschlagen"},"content":{"rendered":"

[English<\/a>]BKA und die Generalstaatsanwaltschaft Frankfurt am Main haben einen \"Takedown\" der Emotet-Infrastruktur international eingeleitet, denn die betreffenden Server \u00fcbernommen und dann die Infrastruktur zerschlagen. Ein Blog-Leser hat mich gerade per Kommentar<\/a> auf den Sachverhalt aufmerksam gemacht.<\/p>\n

<\/p>\n

\"\"Emotet<\/a> ist eine Familie von Computer-Schadprogrammen in Form von Makroviren, welche die Empf\u00e4nger \u00fcber den Anhang sehr echt aussehender E-Mails mit Trojanern infizieren. Wenn ein Empf\u00e4nger die Anlage bzw. den Anhang der E-Mail \u00f6ffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausf\u00fchrung gebracht.<\/p>\n

Die Emotet-Gruppe war f\u00fcr zahlreiche erfolgreiche Ransomware-Angriffe auf deutsche Firmen, Beh\u00f6rden, das Kammergericht Berlin und weitere Dienststellen verantwortlich. Emotet galt als derzeit gef\u00e4hrlichste Schadsoftware weltweit und hat auch in Deutschland neben Computern zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Beh\u00f6rden und Institutionen infiziert. Dazu geh\u00f6ren beispielsweise die IT des Klinikums F\u00fcrth, des Kammergerichts Berlin, der Bundesanstalt f\u00fcr Immobilienaufgaben (BImA) oder der Stadt Frankfurt am Main.<\/p>\n

Emotet besa\u00df als sogenannter \u201eDownloader\" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Aussp\u00e4hen von gespeicherten Passw\u00f6rtern oder zur Verschl\u00fcsselung des Systems f\u00fcr Erpressungen. Die Nutzung dieses durch die T\u00e4ter geschaffenen \u201eBotnetzes\" wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der \u201eUnderground Economy\" gegen Entgelt angeboten. Deshalb kann das kriminelle Gesch\u00e4ftsmodell von Emotet als \u201eMalware-as-a-Service\" bezeichnet werden.<\/p>\n

Das Netzwerk der Emotet-Hinterm\u00e4nner bot weiteren Kriminellen die Grundlage f\u00fcr zielgerichtete Cyber-Angriffe. Alleine in Deutschland ist durch Infektionen mit der Malware Emotet oder durch nachgeladene Schadsoftware ein Schaden in H\u00f6he von mindestens 14,5 Millionen Euro verursacht worden. Ich halte die Angabe von 14,5 Millionen Euro f\u00fcr sehr konservativ, die weltweit durch Emotet-Infektionen verursachte Sch\u00e4den gehen in die hunderte Millionen, wenn nicht in die Milliarden. Hier im Blog finden sich zahlreiche Artikel zu Emotet.<\/p>\n

Deutsche Strafverfolger und BKA reagieren<\/h2>\n

In einer gemeinsamen Mitteilung<\/a> des BKA, der Generalstaatsanwaltschaft Frankfurt am Main, der Zentralstelle zur Bek\u00e4mpfung von Internet-Kriminalit\u00e4t (ZIT) und des Bundeskriminalamtes vom 27. Januar 2021 wurde gerade das \"Takedown\" der Emotet-Infrastruktur bekannt gegeben. Am gestrigen Dienstag, den 26. Januar 2021 lief eine international konzertierte Aktion mit Strafverfolgungsbeh\u00f6rden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA, um die Infrastruktur der Schadsoftware Emotet mit Unterst\u00fctzung von Europol und Eurojust zu \u00fcbernehmen und zu zerschlagen.<\/p>\n

Langwierige Ermittlungen seit 2018<\/h2>\n

Die Ermittlungen von ZIT und BKA gegen die Betreiber der Schadsoftware Emotet und des Emotet-Botnetzes wegen des Verdachts des gemeinschaftlichen gewerbsm\u00e4\u00dfigen Computerbetruges und anderer Straftaten werden seit August 2018 gef\u00fchrt, so das BKA.<\/p>\n

Im Rahmen dieses Ermittlungsverfahrens wurden zun\u00e4chst in Deutschland verschiedene Server identifiziert, mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschl\u00fcsselter Kommunikation kontrolliert und gesteuert werden. Umfangreiche Analysen der ermittelten Daten f\u00fchrten zu der Identifizierung weiterer Server in mehreren europ\u00e4ischen Staaten. So konnten im Wege der internationalen Rechtshilfe weitere Daten erlangt und die Emotet-Infrastruktur durch Beamte des BKA und der internationalen Partnerdienststellen immer weiter aufgedeckt werden.<\/p>\n

Internationale Aktion zum Takedown<\/h2>\n

Da sich die auf diese Weise identifizierten Bestandteile der Emotet-Infrastruktur in mehreren L\u00e4ndern befinden, sind die gestrigen Ma\u00dfnahmen zum \u201eTakedown\" auf Initiative von ZIT und BKA in enger Kooperation mit den betroffenen internationalen Strafverfolgungsbeh\u00f6rden durchgef\u00fchrt worden. Beamte des BKA sowie Staatsanw\u00e4lte der ZIT haben dabei in Deutschland bisher bereits 17 Server beschlagnahmt. Daneben sind auf Ersuchen der deutschen Strafverfolgungsbeh\u00f6rden auch in den Niederlanden, in Litauen und in der Ukraine im Rahmen von internationalen Rechtshilfema\u00dfnahmen weitere Server beschlagnahmt worden.<\/p>\n

Durch dieses von Europol und Eurojust koordinierte Vorgehen ist es nicht nur gelungen, den Zugriff der T\u00e4ter auf die Emotet-Infrastruktur zu unterbinden. Auch umfangreiche Beweismittel wurden gesichert. Zudem konnte im Rahmen der Rechtshilfema\u00dfnahmen in der Ukraine bei einem der mutma\u00dflichen Betreiber die Kontrolle \u00fcber die Emotet-Infrastruktur \u00fcbernommen werden.<\/p>\n

Emotet auf Opfersystemen in Quarant\u00e4ne verschoben<\/h2>\n

Durch die \u00dcbernahme der Kontrolle \u00fcber die Emotet-Infrastruktur war es dem Cyber-Spezialisten des BKA m\u00f6glich, die Schadsoftware auf betroffenen deutschen Opfersystemen f\u00fcr die T\u00e4ter unbrauchbar zu machen. Um den Cyber-Kriminellen jegliche M\u00f6glichkeit zu nehmen, die Kontrolle zur\u00fcck zu erlangen, wurde die Schadsoftware auf den Opfersystemen in Quarant\u00e4ne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst, dass die Opfersysteme ausschlie\u00dflich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren k\u00f6nnen. Die dabei erlangten Informationen \u00fcber die Opfersysteme wie z.B. \u00f6ffentliche IP-Adressen werden dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) \u00fcbermittelt.<\/p>\n

Das BSI benachrichtigt die f\u00fcr die \u00fcbermittelten IP-Adressen zust\u00e4ndigen Netzbetreiber in Deutschland. Provider werden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stellt das BSI Informationen zur Bereinigung betroffener Systeme zur Verf\u00fcgung.<\/p>\n

F\u00fcr ZIT und BKA stellt das Zerschlagen der Emotet-Infrastruktur einen bedeutenden Schlag gegen die international organisierte Internetkriminalit\u00e4t und zugleich eine wesentliche Verbesserung der Cybersicherheit in Deutschland dar. Spannend bleibt jetzt, ob man \u00fcber die beschlagnahmten Server und Beweismittel die Hinterm\u00e4nner der Emotet-Gruppe aufsp\u00fcren und dingfest machen kann. Und es steht f\u00fcr mich die Frage im Raum: Gelingt es den Cyber-Kriminellen der Emotet-Gruppe erneut eine \u00e4hnliche Infrastruktur aufzuziehen.<\/p>\n

Erg\u00e4nzung:<\/strong> Die Mitteilung von Europol l\u00e4sst sich hier<\/a> abrufen. Ein Youtube-Video der Polizei<\/a> der Ukraine zeigt \u00fcbrigens die Beschlagnahme der Hardware – ziemlich wilder Aufbau und recht alte PCs. Inzwischen gibt es Berichtet, dass Emotet sich am 25. M\u00e4rz 2021 deinstallieren soll (siehe Emotet deinstalliert sich angeblich am 25. M\u00e4rz 2021<\/a>).<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Cryptolaemus und der Kampf gegen Emotet<\/a>
\nEmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate<\/a>
\nWarnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)<\/a>
\nEmotet w\u00fctet bei der Studienstiftung des deutschen Volkes<\/a>
\nEmotet-Trojaner\/Ransomware weiter aktiv<\/a>
\nMicrosoft warnt vor massiver Emotet-Kampagne<\/a>
\nEmotet-Trojaner kann Computer im Netzwerk \u00fcberlasten<\/a>
\nEmotet Malware als vermeintliches Word-Update getarnt<\/a><\/p>\n

Emotet-Trojaner-Befall in Berliner Oberlandesgericht<\/a>
\nEmotet-Infektion an Medizinischer Hochschule Hannover<\/a>
\nEmotet C&C-Server liefern neue Schadsoftware aus\u2013Neustadt gerade infiziert<\/a>
\nEmotet-Trojaner bei heise, Troy Hunt verkauft Website<\/a>
\nEmotet zielt auf Banken in DACH<\/a>
\nRansomware-Befall in DRK-Einrichtungen: Einfallstor bekannt<\/a>
\nNeu Emotet-Kampagne zu Weihnachten 2020<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]BKA und die Generalstaatsanwaltschaft Frankfurt am Main haben einen \"Takedown\" der Emotet-Infrastruktur international eingeleitet, denn die betreffenden Server \u00fcbernommen und dann die Infrastruktur zerschlagen. Ein Blog-Leser hat mich gerade per Kommentar auf den Sachverhalt aufmerksam gemacht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-243449","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243449","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=243449"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243449\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=243449"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=243449"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=243449"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}