Diese Woche konnten Strafverfolgungsbehörden aus aller Welt das Emotet-Botnet erfolgreich außer Gefecht setzen. In einer der bisher größten und effektivsten globalen Takedown-Operationen übernahmen Polizeibehörden aus Kanada, Frankreich, Deutschland, Litauen, den Niederlanden, der Ukraine, dem Vereinigten Königreich und den USA, koordiniert von Europol und Eurojust, die Kontrolle über die Server von Emotet.
Dadurch erlangten sie Zugriff auf das Botnet und auch die Daten, die die Emotet-Gruppe von ihren Opfern gesammelt hat.
„Die Zerschlagung von Emotet ist ein wahrer Meilenstein im Kampf gegen die Cyberkriminalität. Emotet hat wie ein Schweizer Taschenmesser funktioniert und ermöglichte es den Kriminellen, Passwörter zu stehlen, Geld von Online-Bankkonten zu entwenden und die Computer der Opfer einem Botnet hinzuzufügen - sie also in ferngesteuerte Roboter zu verwandeln - von denen aus sich weitere Phishing-Kampagnen starten lassen“, erklärt Adolf Streda, Malware Analyst bei Avast.
„Emotet war dafür bekannt, starke Methoden zur Verschleierung einzusetzen, um schwerer für Antivirensoftware erkennbar zu sein. Zudem boten die Emotet-Entwickler ihr Schadprogramm als “Malware-as-a-service” an, sodass auch andere Kriminelle die Malware einsetzen konnten. Die Entschärfung des Programms durch die Behörden ist daher eine sehr positive Nachricht für die Welt der Cybersicherheit."
Die Kontrolle über die Emotet Server ermöglicht den Strafverfolgungsbehörden den Betroffenen zu helfen:
- Laut dem Bundeskriminalamt (BKA) konnte durch die Übernahme der Emotet-Infrastruktur, die Schadsoftware auf betroffenen Opfersystemen für die Täter unbrauchbar gemacht werden. Die Malware wurde auf diesen Systemen in Quarantäne verschoben und die Kommunikationsparameter angepasst.
Die übermittelten IP-Adressen werden den zuständigen Netzbetreibern weitergeleitet, damit diese ihre betroffenen Kunden entsprechend informieren können. Zudem stellt das BSI Informationen zur Bereinigung infizierter Systeme zur Verfügung.
- Außerdem hat die niederländische Polizei eine Anmeldeseite erstellt, auf der Nutzer überprüfen können, ob die eigene E-Mail-Adresse Teil der beschlagnahmten Daten ist. So können Anwender herausfinden, ob sie von der Emotet-Gruppe infiziert wurden.
Diese Maßnahmen sollen Nutzern im ersten Schritt dabei helfen, herauszufinden, ob sie überhaupt betroffen sind. Im zweiten Schritt werden Betroffene dabei unterstützt, ihre Systeme von der Malware zu befreien.
Die Geschichte von Emotet
Emotet hat sich aufgrund seiner Langlebigkeit und Anpassungsfähigkeit zu einem der bekanntesten Botnets entwickelt. Es begann als Banking-Trojaner im Jahr 2014 unter der Kontrolle einer Gruppe, die als TA542, Mealybug und MUMMY SPIDER bekannt ist. Im Laufe der Zeit änderte die Gruppe jedoch ihre Malware sowie Taktik und wurde auch unter dem Namen ihrer ersten Malware bekannt: Emotet.
Außergewöhnlich an der Gruppe ist, wie sie ihr illegales Geschäft professionalisiert haben. Im Jahr 2017 gingen sie dazu über, nicht mehr selbst massenhaft Daten zu stehlen, sondern ihre Dienste an andere zu verkaufen - ein Schritt in Richtung Professionalisierung.
Auch die Anpassungsfähigkeit der Gruppe ist beachtlich, so änderte sie nicht nur ihr Geschäftsmodell, sondern auch ihre Nutzlasten, Zustellmethoden und vor allem ihre Lockmittel. Im Jahr 2020 setzte die Emotet-Gruppe beispielsweise aggressiv Covid-19-Köder ein, um die weltweiten Ängste vor der Pandemie auszunutzen.
Gefahr gebannt?
Bisher gibt es keine bekannten Anklagen oder Verhaftungen, was darauf hindeutet, dass die Strafverfolgungsmaßnahmen vermutlich nur bei den Werkzeugen der Angreifer, nicht aber bei den Angreifern selbst zu Ergebnissen geführt haben. Dies könnte bedeuten, dass die Emotet-Gruppe versucht, sich neu zu gruppieren und aufzubauen.
Dies ist unter anderem durch die hohe Anpassungsfähigkeit der Gruppe wahrscheinlich. Selbst wenn die Gruppe nicht über ihr Botnet verfügt, hat sie möglicherweise weitere Kopien der Daten, mit denen sie versuchen kann, ein neues Botnet aufzubauen.