Totgesagte leben länger: Emotet ist zurück

Die "gefährlichste Schadsoftware" ist wieder unterwegs. Neue Phishing-Wellen rollen bereits an.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 270 Beiträge
Aufmacherbild Emotets Rückkehr

(Bild: Pixels Hunter/Shutterstock.com)

Von
  • Dirk Knop

Emotet galt zeitweise als die gefährlichste Schadsoftware. Mit dem hinterhältigen Dynamit-Phishing drang sie auch in gut gesicherte Netze ein. Doch Anfang des Jahres gelang mehreren Behörden der Schlag gegen das Emotet-Netzwerk: Sie beschlagnahmten die Server und lieferten nur noch harmlose Updates aus. Im April dieses Jahres löschten sie die Emotet-Schadprogramme schließlich von den infizierten Systemen. Doch jetzt haben mit der Malware Trickbot infizierte Maschinen angefangen, neue Emotet-Varianten zu installieren.

Wie GData berichtet, haben am Sonntag die Trickbot-Drohnen angefangen, neue DLLs herunterzuladen, die die automatisierten Analysesysteme als Emotet klassifizierten. Um aufzuklären, was da los war, hat das Virenlabor manuelle Analysen durchgeführt und kam zu dem Schluss: sieht aus wie Emotet, riecht wie Emotet und verhält sich wie Emotet – ist wahrscheinlich Emotet.

Code und Arbeitsweise der neuen Version ähneln den bekannten Emotet-Samples, doch einige Änderungen haben die Bot-Programmierer vorgenommen. So nutzen die Server laut GData nun anders als die letzten Schädlingsversionen aus dem vergangenen Jahr https mit selbst signierten Zertifikaten zur Absicherung der Kommunikation und die Verschlüsselung zum Verstecken der Daten ist leicht verändert.

Schon in der Vergangenheit hat die Gang hinter Emotet mit den Trickbot-Drahtziehern zusammen gearbeitet. Früher verkauften die Emotet-Hintermänner Zugänge zu Firmennetzen, sodass nach der Initialinfektion mit Emotet häufig auch Trickbot auf den kompromittierten Maschinen landete. Diese verschlüsselten dann mit der Ransomware Ryuk die Systeme der Opfer und forderten heftige Lösegeldsummen (die genaue Vorgehensweise erklärt Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail).

Die Trickbot-Bande blieb auch nach dem Schlag gegen Emotet weiterhin aktiv. Sie haben sich innerhalb weniger Tage andere Lieferanten für Zugänge in Firmennetze gesucht und auf Basis der Erpressungs-Software Conti ein florierendes Geschäft mit "Ransomware as a Service" aufgebaut. Dabei vermieten sie ihre Schadsoftware und Infrastruktur an aufstrebende Cybercrime-Banden. Und jetzt helfen sie offenbar den Kumpeln aus alten Tagen wieder in den Sattel.

Emotets Spezialität waren besonders gut gemachte Phishing-Mails – das sogenannte Dynamit-Phishing. Dabei erhalten die ausgewählten Ziele personalisierte E-Mails, die scheinbar von Kollegen oder Geschäftspartnern stammen und sogar frühere E-Mails des Empfängers zitieren. Ziel ist es, den oder die Empfänger:in zum Öffnen der angehängten Office-Datei zu verleiten.

Inzwischen senden die neuen Emotet-Drohnen auch bereits wieder Malware-Spam per E-Mail, wie die Forscher der Gruppe Cryptolaemus twittern. Demnach schicken die Bots dazu speziell präparierte Dokumente als .docm, xlsm oder passwortgeschützte ZIPs an potenzielle Opfer. Die Botnetz-Experten von abuse.ch empfehlen deshalb allen Admins, vorsorglich die Command&Control-Server auf den Perimeter-Firewalls von Unternehmen zu blockieren. Sie pflegen dafür eine Liste der IP-Adressen bekannter Emotet-Server.

(dmk)