IT-Security Aufsteigermeister Emotet

Von Susanne Ehneß

Emotet ist das Kaiserslautern der Schadprogramme. Der Trojaner konnte im Januar 2021 verdrängt werden, kam aber im November mit ganzer Stärke zurück. Im Februar 2022 war Emotet die Top-Malware.

Anbieter zum Thema

Die Malware Emotet ist mit ganzer Kraft wieder da
Die Malware Emotet ist mit ganzer Kraft wieder da
(© Alexander Limbach - stock.adobe.com)

In der Saison 1997/1998 schaffte der Fußballclub Kaiserslautern etwas, das vorher und auch seither keinem anderen Erstligaverein gelang: Der aus der zweiten Liga aufgestiegene Verein gewann die Meisterschaft – die „roten Teufel“ waren Aufsteigermeister.

Auch „Emotet“ hat ein furioses Comeback geschafft. Bis Anfang 2021 zählte die Malware zu den gefährlichsten Computer-Schadprogrammen; zahlreiche Verwaltungen, Universitäten, Kliniken und Kommunen wurden Opfer des Trojaners, der sich in E-Mail-Anhängen versteckt. Wird der Anhang geöffnet, lädt das Programm Überwachungssoftware oder nachfolgend auch Ransomware auf den Rechner.

Der Schaden bei den betroffenen Einrichtungen war teils immens. Bürgerbüros blieben geschlossen, Kliniken mussten Operationen verschieben, Computer waren nur noch als Offline-Schreibmaschine nutzbar. Laut Bundeskriminalamt (BKA) ist alleine in Deutschland durch Infektionen mit Emotet und nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro entstanden.

Die Erleichterung war daher groß, als das BKA im Januar 2021 bekannt gab, gemeinsam mit Europol und Eurojust die Malware zerschlagen zu haben. In Deutschland und anderen europäischen Ländern wurden dabei zahlreiche Server beschlagnahmt und die Emotet-Infrastrukturen deaktiviert.

Der Trojaner ist zurück

Zehn Monate später war Emotet wieder im Umlauf. „Das Bot-Netz Emotet wurde durch die Hackgruppe Conti wiederbelebt. Die Schlussfolgerung liegt nahe, dass sich ehemalige Mitglieder bei der Conti-Gruppe neu formierten und so an den alten Erfolg angeknüpft haben“, erklärt Christine Schönig, Regional Director Security Engineering bei Check Point. Die als besiegt erklärte Malware tauchte in neuen Varianten ab November 2021 auf und setzte ihren zweifelhaften Siegeszug fort. Derzeit ist das Programm auf Platz eins der Schadprogramme.

Maya Horowitz, VP Research bei Check Point
Maya Horowitz, VP Research bei Check Point
(© Check Point)

Wie das Security-Unternehmen Check Point Software Technnologies ausführt, nutzt Emotet aktuell den Informationsbedarf rund um den Ukraine-Krieg und versteckt sich beispielsweise in eMails mit dem Betreff „Recall“ (Rückruf) und dem Text „Militärischer Konflikt Ukraine-Russland: Wohlergehen unseres ukrainischen Besatzungsmitglieds“. „Derzeit machen sich einige Schadprogramme, darunter Emotet, das öffentliche Interesse am Ukraine-Krieg zunutze, indem sie E-Mail-Kampagnen zu diesem Thema erstellen, die zum Herunterladen verseuchten Anhänge verleiten sollen“, erklärt Maya Horowitz, VP Research bei Check Point.

Die dabei am häufigsten angegriffenen Branchen und Bereiche in Deutschland sind Hardware-Hersteller, Fertigung und das Gesundheitswesen.

„Es ist wichtig, immer zu überprüfen, ob die eMail-Adresse eines Absenders authentisch ist, auf Rechtschreibfehler in eMails zu achten und keine Anhänge zu öffnen oder auf Links zu klicken, wenn Sie den Verdacht haben, dass die eMail unsicher ist“, betont Horowitz.

Kann Emotet langfristig zerschlagen werden?

Ist eine erneute, bestenfalls langfristige Zerschlagung von Emotet möglich? „Die Erkenntnisse der Mitarbeiter von Check Point Research zur Organisation von Hackergruppen zeigen, wie schwierig es ist, die dynamische Struktur von Hacker-Gruppen zu durchschauen und die Akteure dingfest zu machen“, erläutert Christine Schönig.

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO
Christine Schönig, Regional Director Security Engineering CER, Office of the CTO
(© Check Point)

„Wegen der ständigen Änderungen wird es sicherlich enorm schwierig werden und erfordert erneut die erfolgreiche Kooperation über Ländergrenzen hinaus, doch können hierarchische Strukturen stets ausgemacht werden, wie die Vergangenheit gezeigt hat. Die Zerschlagung sollte daher eine kontinuierliche Aufgabe sein, um so viel Sand wie möglich in das gut geölte Getriebe der Hacker-Gruppen zu streuen“, ergänzt Schönig.

Malware: Die schlimmsten Drei

Laut Check Point sind dies die Top drei der Schadprogramme:

1. Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er wurde früher als Banking-Trojaner eingesetzt, dient jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
2. Snake Keylogger: Snake ist ein modularer .NET-Keylogger und Credential Stealer, der erstmals Ende November 2020 entdeckt wurde. Seine Hauptfunktion besteht darin, die Tastatureingaben der Benutzer aufzuzeichnen und die gesammelten Daten an die Hacker zu übermitteln. Snake-Infektionen stellen eine große Bedrohung für die Privatsphäre und die Online-Sicherheit der Nutzer dar, da die Malware praktisch alle Arten von sensiblen Informationen stehlen kann und ein besonders hartnäckiger Keylogger ist, der gut einer Entdeckung entgehen kann.
3. FormBook ist ein Infostealer, der auf das Windows-Betriebssystem zielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er starke Ausweichtechniken kennt und einen recht niedrigen Preis kostet. FormBook sammelt und stiehlt Anmeldeinformationen von verschiedenen Webbrowsern, macht Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C herunterladen und ausführen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48149299)