„Cyber-Allzweckwaffe“

Emotet: „Gefährlichste Schadsoftware“ ist zurück

(Bild: stock.adobe.com)

Sie galt als „weltweit gefährlichste Schadsoftware“, bis Strafverfolgungsbehörden sie im Jänner in einer koordinierten Aktion vom Netz nahmen: Emotet. Doch nun ist die „Allzweckwaffe des Cybercrime“ wieder da, wie eine Analyse des IT-Sicherheitsanbieters G Data zeigt.

Emotet gilt als eine der gefährlichsten Malware-Familien, weil sie insbesondere als Brückenkopf für Cyberangriffe auf Unternehmen aller Größen genutzt wird. Nach einer initialen Infizierung mit dem Schadprogramm folgte in der Vergangenheit oft eine Erpressung des kompromittieren Unternehmens mit einem Verschlüsselungstrojaner.

Zu den Opfern dieser Masche zählten unter anderem Krankenhäuser und Stadtverwaltungen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnete Emotet daher als „weltweit gefährlichste Schadsoftware“.

Anfang des Jahres gelang es Strafverfolgungsbehörden in einem koordinierten Takedown, die Infrastruktur des vor allem vom organisierten Verbrechen genutzten Systems „unter Kontrolle“ zu bringen, wie die europäische Polizeibehörde Europol es damals formulierte. Eine Analyse aktueller Schadsoftware-Samples durch G Data deutet nun allerdings darauf hin, dass Emotet zurückgekehrt ist.

Erste Spam-Mails mit Emotet in Umlauf
„Das neue Emotet-Sample fällt durch mehrere technische Ähnlichkeiten zu der ursprünglichen Schadsoftware auf. Insbesondere ein Vergleich des Quellcodes zeigt ähnliche Strukturen. Es gibt aber auch Unterschiede: Im Gegensatz zu den früher bekannten Emotet-Varianten wird der Netzwerkverkehr zwar weiterhin verschlüsselt, es wird jedoch nun HTTPS mit einem selbst-signierten Zertifikat genutzt“, erläutert das Unternehmen in einer Mitteilung.

Die ersten Spam-Aktivitäten sind demnach bereits angelaufen - derzeit wird Emotet in *.docm und *.xlsm- sowie passwortgeschützten ZIP-Anhängen verteilt. Da das eigene Botnetz im Zuge des Takedowns offenbar nachhaltig zerstört wurde, nutzt Emotet laut G Datazu seiner Verbreitung die Infrastruktur der Malware Trickbot.

5500 Angriffe pro Tag
Auch Kaspersky hat laut eigenen Angaben bereits neue Emotet-Samples entdeckt. Einer Mitteilung zufolge geht der Sicherheitsanbieter aber nicht davon aus, „dass die Angriffe so massiv sind wie vor der Verhaftung der Emotet-Hintermänner“. Täglich beobachtet das Unternehmen derzeit etwa 5500 Angriffe pro Tag, als Downloader fungierten schädliche Microsoft-Word-Dokumente, Dokumentenarchive sowie Links zu solchen schädlichen Dokumenten.