{"id":259482,"date":"2021-11-16T03:10:12","date_gmt":"2021-11-16T02:10:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259482"},"modified":"2021-11-16T12:43:48","modified_gmt":"2021-11-16T11:43:48","slug":"emotet-malware-ist-zurck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/16\/emotet-malware-ist-zurck\/","title":{"rendered":"Emotet-Malware ist zurück"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Schadsoftware Emotet (Trojaner und Ransomware) war recht erfolgreich und zahlreiche Systeme befallen. Strafverfolgern war es gelungen, die Infrastruktur des Botnets zur Verteilung der Malware zu hacken. Zum 25. April 2021 wurde die Emotet-Malware automatisch von Windows-Maschinen entfernt. War aber nicht von Dauer, denn die Schadsoftware Emotet ist zur\u00fcck und baut ein neues Botnet auf.<\/p>\n

<\/p>\n

Emotet: Ein R\u00fcckblick<\/h2>\n

\"\"Emotet<\/a> ist eine Familie von Computer-Schadprogrammen in Form von Makroviren, welche die Empf\u00e4nger \u00fcber den Anhang sehr echt aussehender E-Mails mit Trojanern infizieren. Wenn ein Empf\u00e4nger die Anlage bzw. den Anhang der E-Mail \u00f6ffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausf\u00fchrung gebracht.<\/p>\n

Die Emotet-Gruppe war f\u00fcr zahlreiche erfolgreiche Ransomware-Angriffe auf Firmen, Beh\u00f6rden und Institutionen weltweit verantwortlich. Emotet galt als derzeit gef\u00e4hrlichste Schadsoftware weltweit und hat neben Computern hunderttausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Beh\u00f6rden und Institutionen infiziert.<\/p>\n

Emotet besa\u00df als sogenannter \u201eDownloader\" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Aussp\u00e4hen von gespeicherten Passw\u00f6rtern oder zur Verschl\u00fcsselung des Systems f\u00fcr Erpressungen. Die Nutzung dieses durch die T\u00e4ter geschaffenen \u201eBotnetzes\" wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der \u201eUnderground Economy\" gegen Entgelt angeboten. Deshalb kann das kriminelle Gesch\u00e4ftsmodell von Emotet als \u201eMalware-as-a-Service\" bezeichnet werden. In den am Beitragsende verlinkten Artikeln habe ich die Malware umfangreich thematisiert.<\/p>\n

Im Januar 2021\u00a0 konnten Strafverfolger die Emotet Command & Control-Server (C&C) \u00fcbernehmen und die Nachladefunktion f\u00fcr Schadsoftware \u00fcber die C&C-Server modifizieren, eigene Module auf den infizierten Opfer-Systemen installieren und die Schadfunktionen gleichzeitig deaktivieren. Ab da konnten die Opfer-Systeme nur noch mit den kontrollierten C&C-Servern kommunizieren. Am 25. April 2021 wurde die Infrastruktur abgeschaltet und die Malware auf infizierten Systemen entfernt (siehe Emotet Malware wurde automatisch am 25. April 2021 deinstalliert<\/a>).<\/p>\n

Emotet ist wieder zur\u00fcck<\/h2>\n

Nun berichtet Cryptolaemus auf Twitter<\/a>, dass die Malware wieder zur\u00fcck sei. Die Gruppe beobachte, dass Bots anfangen, \u00fcber das sogenannte Epoch 4-Botnet zu spammen, um die Malware zu verbreiten. Bisher wurde nur anhangbasierter Malspam mit .docm oder .xlsm Dateien (eigentlich XLSM mit einer AF-Vorlage \"Excell<\/a>\") oder passwortgesch\u00fctzten ZIPs (Operation ZipLock) beobachtet.<\/p>\n

\"Emotet<\/a><\/p>\n

Die Gruppe Cryptolaemus teilt gem\u00e4\u00df diesem Tweet<\/a> Beispiele auf verschiedenen Plattformen. Die Kollegen von Bleeping Computer haben in nachfolgendem Tweet<\/a> das Ganze aufgegriffen und in diesem Artikel<\/a> zusammen gefasst.<\/p>\n

\"EMOTET<\/a><\/p>\n

Sicherheitsforscher von Cryptolaemus<\/a>, GData<\/a> und Advanced Intel<\/a> beobachten aktuell, dass die TrickBot-Malware einen Loader f\u00fcr Emotet auf infizierten Ger\u00e4ten ablegt. Der Emotet-Experte und Cryptolaemus-Forscher Joseph Roosen erkl\u00e4rte gegen\u00fcber BleepingComputer aber, dass es keine Anzeichen daf\u00fcr gebe, dass das Emotet-Botnet Spamming-Aktivit\u00e4ten durchf\u00fchre, und auch keine b\u00f6sartigen Dokumente gefunden wurden, die die Malware verbreiten.<\/p>\n

Bleeping Computer vermutet, dass das Fehlen von Spamming-Aktivit\u00e4ten wahrscheinlich darauf zur\u00fcckzuf\u00fchren ist, dass die Emotet-Infrastruktur von Grund auf neu aufgebaut wird. Gleichzeitigt k\u00f6nnten neue Antwortketten-E-Mails von den Opfern in zuk\u00fcnftigen Spam-Kampagnen gestohlen werden. Auch The Record hat einen Artikel<\/a> mit Details ver\u00f6ffentlicht.<\/p>\n

Das BSI hat die Seite Ma\u00dfnahmen zum Schutz vor Emotet und gef\u00e4hrlichen E-Mails im Allgemeinen<\/a> mit Hinweisen, wie man sich sch\u00fctzen kann, online gestellt.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:
\n<\/strong>Cryptolaemus und der Kampf gegen Emotet<\/a>
\nEmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate<\/a>
\nWarnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)<\/a>
\nEmotet w\u00fctet bei der Studienstiftung des deutschen Volkes<\/a>
\nEmotet-Trojaner\/Ransomware weiter aktiv<\/a>
\nMicrosoft warnt vor massiver Emotet-Kampagne<\/a>
\nEmotet-Trojaner kann Computer im Netzwerk \u00fcberlasten<\/a>
\nEmotet Malware als vermeintliches Word-Update getarnt<\/a>
\nEmotet-Trojaner-Befall in Berliner Oberlandesgericht<\/a>
\nEmotet-Infektion an Medizinischer Hochschule Hannover<\/a>
\nEmotet C&C-Server liefern neue Schadsoftware aus\u2013Neustadt gerade infiziert<\/a>
\nEmotet-Trojaner bei heise, Troy Hunt verkauft Website<\/a>
\nEmotet zielt auf Banken in DACH<\/a>
\nRansomware-Befall in DRK-Einrichtungen: Einfallstor bekannt<\/a>
\nNeu Emotet-Kampagne zu Weihnachten 2020
\n<\/a>BKA: Infrastruktur der Emotet-Schadsoftware \u00fcbernommen und zerschlagen<\/a>
\nEmotet deinstalliert sich angeblich am 25. April 2021<\/a>
\nDetails zur Emotet Deinstallation durch Strafverfolger<\/a>
\nEmotet Malware wurde automatisch am 25. April 2021 deinstalliert<\/a>
\nPr\u00fcfung: Wurde meine E-Mail-Adresse durch die Schadsoftware Emotet erbeutet?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Schadsoftware Emotet (Trojaner und Ransomware) war recht erfolgreich und zahlreiche Systeme befallen. Strafverfolgern war es gelungen, die Infrastruktur des Botnets zur Verteilung der Malware zu hacken. Zum 25. April 2021 wurde die Emotet-Malware automatisch von Windows-Maschinen entfernt. War aber … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[1018,4328],"class_list":["post-259482","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-malware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259482","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259482"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259482\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259482"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259482"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259482"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}