{"id":243494,"date":"2021-01-28T00:39:29","date_gmt":"2021-01-27T23:39:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=243494"},"modified":"2021-01-29T01:53:41","modified_gmt":"2021-01-29T00:53:41","slug":"emotet-deinstalliert-sich-angeblich-am-25-mrz-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/28\/emotet-deinstalliert-sich-angeblich-am-25-mrz-2021\/","title":{"rendered":"Emotet deinstalliert sich angeblich am 25. April 2021"},"content":{"rendered":"

[English<\/a>]Aktuell sieht es so aus, als ob sich die Emotet-Malware am 25. April 2021 um 12:00 Uhr automatisch von befallenen Systemen deinstalliert. Unklar ist f\u00fcr mich aber, wer genau hinter dieser Aktion steckt – es werden das deutsche BKA und die niederl\u00e4ndische Polizei genannt. Hier die Informationen die gerade \u00fcber Sicherheitsforscher und Europol durchgesickert sind. Erg\u00e4nzung:<\/strong> Datum von M\u00e4rz auf den 25. April 2021 korrigiert.<\/p>\n

<\/p>\n

Emotet C&C-Server beschlagnahmt<\/h2>\n

\"\"Vor einigen Stunden war ja bekannt geworden, dass Strafverfolger (BKA, Europol etc.) die Infrastruktur der Emotet-Malware beschlagnahmt und die Kontrolle \u00fcber deren Server \u00fcbernommen haben. Alleine in Deutschland sind wohl 17 Server \u00fcbernommen worden. Ich hatte im Blog-Beitrag BKA: Infrastruktur der Emotet-Schadsoftware \u00fcbernommen und zerschlagen<\/a> \u00fcber diese Aktion berichtet. Dort hie\u00df es noch, dass die Emotet-Malware auf den Opfersystemen \"In Quarant\u00e4ne\" geschickt w\u00fcrde. Zudem zeichnet das BKA f\u00fcr Deutschland die IP-Adressen der Opfersysteme, die mit den Emotet-C&C-Servern Kontakt aufnehmen auf. Dann sollen die Provider informiert werden, damit diese die Kunden \u00fcber die Infektion in Kenntnis setzen.<\/p>\n

Emotet-Deinstallation am 25. April 2021 geplant?<\/h2>\n

Einem Twitter-Nutzer mit dem Alias mikream<\/em> ist vor einigen Stunden aufgefallen, dass alle C&C-Server, die noch kontaktiert werden k\u00f6nnen, eine neue Nutzlast verteilen, die eine Emotet-Infektion am 25. M\u00e4rz 2021 um 12:00 Uhr per Script entfernen soll. Das geht aus nachfolgenden Tweets<\/a> hervor, wobei wohl acht C&C-Server, die der IP nach in Deutschland stehen, diese Nutzlast ausliefern.<\/p>\n

\"Emotet-Update<\/a><\/p>\n

Erg\u00e4nzung:<\/strong> Das Enddatum d\u00fcrfte aber der 25. April 2021 sein, da die Monate von der C-Funktion von 0-11 gez\u00e4hlt werden – siehe auch diesen Tweet<\/a>.<\/p><\/blockquote>\n

Unklar, wer hinter der Aktion steckt<\/h2>\n

Etwas Diskrepanzen gibt es bez\u00fcglich der Information, wer genau hinter der Aktion steckt. Catalin Cimpanu schreibt auf ZDNet.com<\/a>, dass die niederl\u00e4ndische Polizei angibt, dass zwei von drei der prim\u00e4ren Emotet Command-and-Control-Server (C&C) in den Niederland stehen und beschlagnahmt wurden. Aus dieser Quelle hei\u00dft es, dass die niederl\u00e4ndische Polizei den Zugang zu diesen beiden wichtigen Servern nutzt, um ein mit einer Timebomb versehenes Emotet-Update auf alle infizierten Hosts zu verteilen.<\/p>\n

Stutzig macht mich aber die in obigem Tweet angegebenen IP-Adressen, die sich auf die Open Telekom Cloud und deutsche Standorte beziehen. Bleeping Computer schreibt dagegen in diesem Artikel<\/a>:<\/p>\n

In a phone call with Europol's press office, BleepingComputer was told that the German Bundeskriminalamt (BKA) federal police agency was responsible for this action. The press office, though, did not know the date that law enforcement would uninstall the malware.<\/p><\/blockquote>\n

Dort hei\u00dft es, dass bei einem Telefonat mit der Presseabteilung von EuroPol das deutsche Bundeskriminalamt (BKA) als verantwortlich f\u00fcr die Aktion bezeichnet wurde. Zudem schreibt Bleeping Computer, dass unklar sei, warum die Strafverfolgungsbeh\u00f6rden zwei Monate warten, um die Malware zu deinstallieren. Mir gehen allerdings zwei Fragen im Kopf herum:<\/p>\n