Die Sicherheitsforscher von Check Point Research (CPR) sehen eine Wiederbelebung des berüchtigten Emotet-Bot-Netzes durch den Kollegen Trickbot. Beide hatten schon in der Vergangenheit zusammengearbeitet und so ist es nicht verwunderlich, dass die Abschaltung von Emotet nur zeitweise möglich war.
Emotet wurde einst als „gefährlichste Ransomware der Welt“ betitelt; nun schätzt CPR die Zahl der Trickbot-Emotet-Opfer in nur 10 Monaten auf 140 000 Menschen, verteilt auf 149 Länder. Neue Emotet-Varianten, die über Trickbot verbreitet werden, wurden von CPR am 15. November 2021 entdeckt – 10 Monate nach dem Zugriff der Behörden und dem vermeintlichen Ende des Bot-Netzes.
Dies ist ein deutlicher Indikator für eine Flut von Ransomware-Angriffen, da solche Bot-Netze vor allem Ransomware-Banden eine Hintertür öffnen. Bislang gibt es diese Erkenntnisse:
- Portugal und die USA waren die Hauptziele von Trickbot
- Die wichtigsten der getroffenen Branchen sind die Behörden, das Finanzwesen und die Industrie
- Trickbot stützt sich bei der Verbreitung stark auf eine kleine Anzahl von IP-Adressen
Lotem Finkelstein, Head of Threat Intelligence bei Check Point Software, warnt: „Emotet war das stärkste Bot-Netz in der Geschichte der Cyber-Kriminalität. Nun hat es sein starkes Fundament an andere Hacker verkauft, um die Malware schnell zu verbreiten, zumeist an Ransomware-Banden. Das Comeback von Emotet ist ein Warnzeichen bezüglich eines weiteren Anstiegs der Ransomware-Angriffe im Jahr 2022, unser bester Indikator.“
„Die Trickbot-Malware, welche stets mit Emotet zusammengearbeitet hat, erleichtert die Wiederkunft des Bot-Netzes, weil es diesem bei der Verbreitung hilft. So startet Emotet von einer sehr soliden Position, statt bei Null. In nur zwei Wochen wurde Emotet damit zur siebtbeliebtesten Malware weltweit, wie in unserer globalen Liste der Top Malware zu sehen ist. Wir sollten außerdem mit Emotet- und Trickbot-Infektionen so umgehen, als handele es sich um Ransomware selbst, denn andernfalls ist es nur eine Frage der Zeit, bis es zu einem echten Ransomware-Angriff kommt.“