IT-Security

Emotet zerschlagen: König der Schadsoftware entthront

10. Februar 2021 von Bianca Wellbrock

emotet-hacker-gefasst
© frank peters - stock.adobe.com

5
(3)

Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), äußerte sich im Jahr 2019 über den Erpressungstrojaner Emotet und nannte ihn „König der Schadsoftware“. Nun wurde dieser König entthront: Ermittlern ist es gelungen, Kontrolle über die Infrastruktur der Emotet-Trojaner zu bekommen. Im heutigen Beitrag berichten wir über diesen, wie wir finden freudigen, Ermittlungserfolg und blicken auf die Emotet-Opfer. Zudem wagen wir einen kleinen Blick in die Zukunft des Schädlings.

Emotet ausgeschaltet

Wie die europäische Polizeiagentur Europol sowie das Bundeskriminalamt (BKA) mitteilten, ist es internationalen Ermittlern am 26. Januar gelungen, die Infrastruktur hinter Emotet zu zerschlagen, einem der weltweit gefährlichsten Malware-Netzwerke. Über zwei Jahre haben Ermittler aus acht Ländern unter deutscher sowie niederländischer Leitung ermittelt; erstmals war Emotet im Jahr 2014 aufgetaucht.

Eine Europol-Sprecherin erklärte: Emotet wäre eines der „gefährlichsten Instrumente für Cyberattacken. […] Die Emotet-Infrastruktur funktionierte im Kern wie ein erster Türöffner in Computersysteme auf weltweiter Ebene. Das System konnte auf einzigartige Weise ganze Netzwerke infizieren nur durch den Zugang zu ein paar wenigen Apparaten“, so die Behörde.

In einer Pressemeldung zeigt sich auch das BSI über den Erfolg der Ermittler begeistert. BSI-Präsident Schönbohm erklärt: „Vor bald drei Jahren bereits war es das BSI, das Emotet als ‚König der Schadsoftware‘ bezeichnet hatte. Seitdem haben wir immer wieder eindringlich vor der Gefährdung durch Emotet gewarnt und auf die teils erheblichen Folgen für Unternehmen, Behörden, Institutionen und nicht zuletzt auch für die Bürgerinnen und Bürger hingewiesen. Die Liste der Geschädigten ist lang: Krankenhäuser mussten ihren medizinischen Betrieb einstellen, Gerichte und Stadtverwaltungen wurden lahmgelegt, unzählige Unternehmen hatten keinen Zugriff auf ihre wichtigen Geschäftsdaten und digitalen Prozesse. Auch Zehntausende Rechner von Privatpersonen wurden mit Emotet infiziert, mit der Folge, dass das Online-Banking manipuliert oder Passwörter ausspioniert wurden.“

Das BSI hat nun die Aufgabe, die in der Beweissicherung ermittelten IP-Adressinformationen betroffener Anschlüsse an die jeweilig zuständigen Netzbetreiber weiterzuleiten. Die Provider sind ihrerseits angehalten, ihre betroffenen Kunden über Emotet-Infektionen zu informieren. Das BSI stellt auf seiner Website Informationen darüber bereit, wie die Desinfektion der IT gelingen kann.

Emotet: Ermittlungen laufen

Nach Angaben des BKA sind hierzulande bislang 17 Server beschlagnahmt worden. Die Behörde schweigt sich derzeit noch über mögliche Festnahmen aus – die Ermittlungen laufen nach wie vor. Etliche Rechner sind noch immer mit Emotet infiziert, oft wissen deren Besitzer nichts davon. Wie jedoch bereits erwähnt, werden BSI und Provider hier zusammenarbeiten und die Emotet-Opfer informieren. Erste Schritte wurden bereits unternommen:

Wie das BKA erklärte, ist es „durch die Übernahme der Kontrolle über die Emotet-Infrastruktur […] möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen.“ Dafür habe man die Schadsoftware „auf den Opfersystemen in Quarantäne verschoben.“ Nicht nur Privatpersonen, sondern auch und insbesondere Unternehmen sollten jetzt also die Zeit nutzen, die IT-Sicherheit der eigenen Systeme zu überprüfen und gegebenenfalls anzupassen.

Infrastruktur zerschlagen – aber die Täter?

Die Ermittler haben zweifelsohne einen riesigen Erfolg zu verzeichnen – Emotet wurde vorübergehend neutralisiert. Jedoch wurden die Täter, die hinter Emotet stecken, nicht gefasst. Die Cybercrime-Aktivitäten haben diesen Hintermännern große Gewinne eingebracht. Dass sie sich zur Ruhe setzen, ist genauso möglich wie ein Neuaufbau der Infrastruktur.

Wie sich die Täter auch entscheiden – eines ist klar: Wo und wann immer Cyberkriminelle von Masseninfektionen profitieren können, etwa indem sie Daten weiterverkaufen oder Lösegeld mittels Erpressungstrojaner erbeuten, da wird es eine solche Cyberkriminalität weiterhin geben. Emotet selbst hat keine Daten verschlüsselt, sondern Schädlinge nachgeladen, die das übernommen haben. Aktuell existieren keinerlei Hinweise darauf, dass man auch an Schlüssel schon verschlüsselter Inhalte gekommen wäre.

Dank des Engagements der Ermittlungsbehörden kann Emotet selbst keinen Schaden mehr anrichten. Jedoch bleiben nachgeladene Trojaner aktiv und höchst gefährlich. Die Polizei möchte mit zwei Maßnahmen dagegen steuern: Über die integrierte Update-Funktion kommuniziert Emotet ausschließlich mit Kontrollservern, die von der Polizei betrieben werden. Weiter wurde mit uninstall_emotet() eine neue Funktion entdeckt (s. Tweet des Sicherheitsforschers milkream). Diese Funktion wird derzeit von Emotet-Servern an infizierte Rechner ausgeliefert und soll zum 25. April ausgeführt werden. Diese Deinstallation könnte das vom BKA anvisierte „Verschieben in Quarantäne“ sein.

Emotet & Co.: Wachsam bleiben!

Was den Ermittlungsbehörden gelungen ist, sind großartige Neuigkeiten! Nichtsdestotrotz fehlt es an zwei Punkten: Die Hintermänner sind nicht gefasst und die Opfersysteme noch nicht gereinigt. Wenngleich BSI und Provider Warnungen versenden, scheint fraglich, ob alle Opfer entsprechend reagieren (können). Es gilt, wachsam zu bleiben, denn die Cyberkriminellen kehren entweder selbst zurück oder finden zügig Nachahmer.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 3



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu