Die Security-Community beschäftigt sich seit 2014 mit der wandelbaren Ransomware. In seinen ersten Ausführungen war Emotet als Trojaner für den Diebstahl von Berechtigungsnachweisen konzipiert. Er sammelte Benutzernamen und Passwörter und verbreitete sich per Phishing-E-Mail. Die Malware hat sich über die Jahre allerdings weiterentwickelt und ist durch diverse Anpassungen noch gefährlicher geworden.
Das BSI sieht Emotet inzwischen sogar als „eine der größten Bedrohungen durch Schadsoftware weltweit“.
Im Jahr 2017 begann Emotet modularer zu werden: Anstatt auf eingebaute Fähigkeiten begrenzt zu sein, ist die Malware seitdem kompatibel mit verschiedenen Plug-Ins und Schnittstellen. Nahezu alle Arten von Malware und Trojanern können nun die Spam-Funktionen von Emotet nutzen, um sich zu verbreiten und dann sekundäre Malware-Pakete für bestimmte Funktionen herunterzuladen.
2018 wurde beobachtet, wie Emotet E-Mails und Metadaten von infizierten Systemen sammelte. Es ist möglich, dass dies der Beginn der heutigen Ausbreitung war. Inzwischen durchsucht die Schadsoftware Posteingänge, findet dort Konversations-Threads und verwendet Antworten auf diese Threads, um andere Benutzer zu infizieren und im Anschluss daran sekundäre Malware-Programme wie TrickBot in das infizierte System nachzuladen.
Modulare Malware wie Emotet ist die Zukunft krimineller Cyber-Kampagnen
Viele Angriffe durch staatliche Akteure haben sich das modulare Design zunutze gemacht, so dass sie ein einziges Tool für die Erstinfektion verwenden, mithilfe dessen sie dann alle anderen Schadprogramme herunterladen können, die sie für den Angriff auf das Ziel benötigen (z.B. BlackEnergy). Mit dieser modularen Aktualisierung kann Emotet jetzt neben dem Diebstahl von Zugangsdaten auch für die Verteilung von Ransomware eingesetzt werden.
Die Angreifer streben danach, sich unerlaubten Netzwerkzugang über eine Vielzahl von Systemen zu erschleichen: privat, geschäftlich und staatlich. Da die Malware jetzt modular aufgebaut ist, können sie dann bestimmte Angriffe gezielt auf ausgewählte Opfer anwenden, um ihre finanziellen Gewinne zu maximieren. Im Kampf gegen diesen wandelbaren Feind gilt es vor allem wachsam zu bleiben und Mitarbeiter durch regelmäßige Sicherheitsschulungen über die Gefahren im Cyberraum aufzuklären.