Loading...
Blogs & Stories

Trustwave-Blog

Der Trustwave-Blog versetzt Fachleute für Informationssicherheit in die Lage, durch Expertenwissen, das aktuelle Themen, Trends und Herausforderungen behandelt und Best Practices definiert, ihre Möglichkeiten weiter zu verbessern.

Requiem für Emotet

Vor Kurzem ist es gelungen, den berüchtigten Botnet Emotet zu zerschlagen. Dies haben wir zum Anlass genommen, um die lange Geschichte des Malware-Stamms und die damit verbundene Cybercrime-Operation Revue passieren zu lassen. Dazu haben wir Phil Hay, Research Manager bei Trustwave SpiderLabs, der seit Beginn die Emotet-Bedrohung verfolgt und vereitelt, nach seinem Standpunkt gefragt.

Was ist Emotet?

Emotet war wahrscheinlich das erfolgreichste und weit verbreitetste Botnet, das die Cybersecurity-Branche je gesehen hat. Wie das US-Justizministerium berichtet hat, infizierte Emotet über 1,6 Millionen Computer und verursachte einen Schaden in Höhe von mehreren Hundert Millionen Dollar.

Die Angriffe wurden erstmals 2014 entdeckt und zielten hauptsächlich auf den Bankensektor ab. In den Jahren 2016 und 2017 begannen Trustwave und andere Forscher, nach weit verbreiteten Phishing-Kampagnen zu suchen, die versuchten, Malware-Anhänge und andere bösartige Nutzlasten bereitzustellen. 2019 war Emotet immer noch so aktiv, dass Trustwave erneut davor warnte. Auch ein Jahr später wurde die Malware nach wie vor als eine der Top-Bedrohungen im Trustwave Global Security Report aufgeführt.

„Emotet startete als Trojaner, der es auf den Diebstahl von Daten abgesehen hatte. Im Laufe der Zeit wandelte er sich jedoch zunehmend und wurde immer modularer, stahl Informationen oder installierte zusätzliche Malware wie Ransomware oder andere Data Stealer“, sagt Phil Hay. „Aus der Perspektive der E-Mail-Sicherheit zeichnete sich Emotet dadurch aus, dass er schädliche E-Mails über legitime SMTP-Server verteilte. Außerdem wurde der E-Mail-Verkehr abgehört, E-Mail-Text abgefangen sowie Text aus früheren Nachrichten in der neuen E-Mail zitiert, um legitimer zu erscheinen und unter dem Radar zu bleiben."

Hauptsächlich wurde Emotet über Spam-E-Mails verbreitet, wobei gängige Anhangstypen wie Microsoft Word-, PDF- oder Excel-Dateien verwendet wurden (manchmal waren die Dateien auch nur ein Link in der E-Mail). Bei einigen der fortgeschritteneren Angriffe versteckten sich Schadcodes oder Makros sogar in den angehängten Dateien selbst.

Mit der Zeit baute die kriminelle Vereinigung, die hinter dem Angriff stand, ihr eigenes Netzwerk infizierter Server auf und verkaufte den Zugriff auf diese Server als Malware-as-a-Service. Manchmal veräußerten sie den Zugang zu bestimmten Computern oder Servern – so wurde das Botnet im Laufe der Jahre zur Ausgangsbasis für zahlreiche andere kriminelle Operationen, beispielsweise Trickbot. In anderen Fällen lieferten die Kriminellen im Auftrag anderer Hacker Payloads gegen eine Gebühr aus, was sie zu einer Art „Cybercrime-for-hire"-Operation machte.

„Emotet hat es geschafft, seine Malware am E-Mail-Gateway-Scanning vorbeizuschleusen und auf Systemen zu etablieren", sagt Phil Hay. „Es handelt sich um eine Weiterentwicklung bei der Verbreitung von Spam-Malware, weg von großen Botnet-Templates, hin zu etwas Kleinerem, das besser auf den Empfänger zugeschnitten ist und eher unter dem Radar bleiben kann.“

Wie wurde Emotet abgeschaltet?

Im Januar 2021 wurde die Emotet-Infrastruktur von einer Koalition internationaler Strafverfolgungsbehörden aus den USA, Kanada, Großbritannien und anderen Ländern gestört und zerschlagen. Das FBI konnte sich von innen heraus Zugang zu den Distributionsservern verschaffen und effektiv die Kontrolle über sie übernehmen. In der Ukraine wurden zwei Mitglieder der kriminellen Gruppe verhaftet. Die beschlagnahmte Ausrüstung umfasste Computer, Bargeld und Goldbarren.

Ist die Bedrohung durch Emotet also für immer verschwunden? Wie bei aller Cyberkriminalität lässt sich dies leider nicht so einfach beantworten.

„Es ist immer eine gute Nachricht, wenn wir von der Zerschlagung von Botnets hören, denn jede Möglichkeit, die Bösewichte zu schwächen oder von etwas abzuhalten, ist gut", sagt Phil Hay. „Allerdings bedeutet die Unterbrechung eines Botnets nicht immer das Ende der Geschichte. Oft kommen sie mit einer ähnlichen Kreation zurück und fangen von vorn an. Das haben wir in der Vergangenheit schon häufiger gesehen. Ich glaube also nicht, dass wir das Ende von Emotet-ähnlicher Malware gesehen haben."

Für Unternehmen umfasst der Schutz vor Exploits wie der nächsten Iteration von Emotet einen umfassenden Ansatz, einschließlich Secure E-Mail Gateways, proaktiver Threat Hunting-Programme sowie Managed Threat Detection and Response. Am wichtigsten ist, dass Unternehmen ihre IT-Produkte rechtzeitig patchen, da sich Botnet- und Malware-Exploits ständig weiterentwickeln. Auch ein solides Schulungsprogramm für Cybersecurity-Mitarbeiter kann dazu beitragen, Phishing-Angriffe wie kompromittierende E-Mails besser zu erkennen und zu vereiteln.


EBOOK

The Underground Economy

Was passiert, nachdem Cyberdiebe Unternehmen erfolgreich kompromittiert haben? Wenn Sie denken, dass das Abzapfen sensibler Daten sofort zu Geld auf deren Konten führt, liegen Sie falsch. Was folgt, ist eine Reihe von anonymen Wegen, die sie einschlagen können, um letztendlich ihre Belohnung zu kassieren. In diesem umfassenden Leitfaden gewährt Ihnen das Trustwave SpiderLabs-Team einen Blick in die tiefen Abgründe des Dark Web – wo Kriminelle unterwegs sind, um ihre Spuren vor der Strafverfolgung zu verbergen.

Jetzt herunterladen

Recent Trustwave Blog Posts