Im Rahmen einer internationalen Aktion, an der auch deutsche Ermittler beteiligt waren, ist am Dienstag die Infrastruktur der weltweit gefährlichsten Schadsoftware Emotet übernommen und zerschlagen worden. Die Software wurde in der Vergangenheit eingesetzt, um die IT-Infrastruktur tausender Firmen, darunter Behörden und Kliniken, anzugreifen. Doch ist die Gefahr damit gebannt?
Darauf geht Kimberly Goody, Senior Manager of Cybercrime Analysis, Mandiant Threat Intelligence bei FireEye, in ihrem Kommentar ein.
Emotet war in den letzten Jahren stets eine der am weitesten verbreiteten Malware-Familien. Während sie in der Vergangenheit mit Homebanking-Betrug in Verbindung gebracht wurde, kam die Malware seit 2017 auch zur Verbreitung von Spam und sekundärer Schadsoftware zum Einsatz. Dies geschah unserer Ansicht nach im Auftrag einer begrenzten Anzahl von Gruppen, die Emotet als Malware-as-a-Service nutzten.
Zwischen Oktober 2020 und Januar 2021 konnten wir beobachten, dass Emotet mehrere Malware-Varianten verbreitete. Diese wurden genutzt, um Ransomware-Kampagnen zu ermöglichen. Somit erscheint es plausibel, dass die Zerschlagung von Emotet die unmittelbaren Opfer von Ransomware-Angriffen kurzfristig reduzieren könnte.
Mandiant hat allerdings in der Vergangenheit beobachtet, wie Hackergruppen ihre Botnets nach anderen Takedown- oder Zerschlagungsaktionen wieder aufbauen. Die Wahrscheinlichkeit dieses Szenarios hängt vom Stellenwert der festgenommenen Personen ab.
Die hinter Emotet stehenden Akteure kooperieren bisweilen mit anderen bekannten Malware-Kampagnen, darunter Trickbot, Qakbot und Silentnight. Neben der Verbreitung dieser Malware-Familien als sekundäre Schadsoftware durch Emotet haben wir in der Vergangenheit gelegentlich beobachtet, dass auch umgekehrt Emotet von diesen Malware-Familien verbreitet wurde.
Diese bestehenden Partnerschaften und erneutes Spamming könnten genutzt werden, um das Botnet neu aufzubauen.