Emotet: Gut 4 Millionen kopierter Mail-Adressen bei Prüfdienst Have I Been Pwned

Um Betroffene besser informieren zu können, hat das FBI über vier Mio. E-Mail-Adressen, die der Ex-"König der Schadsoftware" Emotet abgriff, mit HIBP geteilt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 34 Beiträge

(Bild: Screenshot / @haveibeenpwned via Twitter)

Von
  • Olivia von Westernhagen

Troy Hunt, Betreiber des Prüfdiensts "Have I Been Pwned" (HIBP) für kompromittierte Zugangsdaten, hat mitgeteilt, dass das FBI insgesamt 4.324.770 E-Mail-Adressen aus aller Welt an ihn übermittelt habe. Diese seien den Ermittlern im Zuge des Takedowns des Trojaners Emotet in die Hände gefallen. Die anschließende Weitergabe an HIBP habe das FBI auf Basis der Überlegung beschlossen, dass der Dienst ein guter Weg wäre, Individuen und Firmen über den Datendiebstahl durch Emotet zu informieren.

Bei HIBP durchsucht man eine riesige Datenbank mit mittlerweile mehr als 11 Milliarden geknackter Accounts nach einer Mail-Adresse. Normalerweise kann man dies unter Eingabe der betreffenden Adresse direkt auf der Startseite von haveibeenpwned.com tun. In diesem speziellen Fall hat Troy Hunt die Daten allerdings als "Sensitive Breach" gekennzeichnet, so dass nur die Besitzer der E-Mail-Adressen selbst prüfen können, ob sie betroffen sind. Das funktioniert über den Menüpunkt "Notify me" bzw. über das Pendant "Domain Search" für Domain-Besitzer. Im Falle eines Treffers erfolgt eine direkte Benachrichtigung an die angegebene E-Mail-Adresse.

Einen ähnlichen Prüfservice bietet übrigens auch die Website der niederländischen Polizei: Nach Eingabe der E-Mail-Adresse erhält man auch hier gegebenenfalls eine Benachrichtigung. Die Datenbank umfasst laut Beschreibung immerhin 3.6 Millionen E-Mail-Adressen.

In einem Blogeintrag zur Datenübermittlung durch das FBI an HIBP erläutert Hunt, dass die in Emotets Infrastruktur entdeckten E-Mail-Adressen in zwei Kategorien fallen: Sie seien zum einen gespeichert worden, um sie zum Spam-Versand und damit zur Weiterverbreitung von Emotet zu nutzen. Zum anderen handele es sich um Web-Zugangsdaten, die Emotet aus Browsern kopiert habe, um sich anschließend selbst damit einzuloggen.

In beiden Fällen dürfte also auch das jeweils zugehörige Passwort als kompromittiert zu betrachten sein. Dementsprechend rät Hunt Betroffenen in Abstimmung mit dem FBI dazu, die Passwörter umgehend zu ändern. Gleiches gelte auch für jegliche Passwörter und Sicherheitsfragen für Accounts, die in kompromittierten E-Mail-Postfächern oder im Browser gespeichert wurden. Zudem sei es wichtig darauf zu achten, die lokal verwendete AV-Sicherheitssoftware auf dem neuesten Stand zu halten.

Administratoren potenziell betroffener Netzwerke weist Hunt auf die vom BKA veröffentlichten Yara-Regeln zur Emotet-Entfernung hin. Dieser Schritt dürfte sich mittlerweile allerdings erübrigen – denn nach der Beschlagnahmung der Emotet-Server lieferten diese ein Update an die infizierten Systeme aus, das die Schadfunktion deaktivierte und zur Beweismittelsicherung in einen Quarantäne-Ordner verschob:

Lesen Sie auch

Zumindest die anderen beiden Ratschläge sollten jedoch sowohl von Admins als auch von normalen Endnutzern weiterhin befolgt werden. Denn Emotet hatte typischerweise weitere Schadsoftware im Gepäck. Und da diese Malware weiterhin aktiv ist und sich ebenfalls an Emotets Datensammlung bedient haben dürfte, ist die Argumentation: "Warum soll ich meine Passwörter ändern? Emotet ist doch Geschichte?" ein gefährlicher Irrweg.

Lesen Sie auch

(ovw)