"Tschüss Emotet": Malware deinstalliert sich selbst

Der "König der Schad-Software" machte still und leise einen Abgang.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 94 Beiträge
Polizei - Virtueller Tatort

Kleine und mittelständische Unternehmen wurden häufiger Opfer von Angreifern.

(Bild: dpa, David Ebener++)

Von
  • Jürgen Schmidt

Bei einem koordinierten Schlag gegen die Cybercrime-Bande beschlagnahmten die Behörden im Januar deren Server und lieferten anschließend nur noch harmlose Updates aus. Am gestrigen 25. April deinstallierten sich die noch aktiven Emotet-Trojaner still und leise. Bislang haben wir keine Meldungen entdeckt, dass es dabei zu Problemen gekommen wäre.

Emotet galt lange Zeit als der "König der Schad-Software". Mit seinem Dynamit-Phishing schaffte er es in viele Firmen-Netze – auch Heise hat es so erwischt. Im Nachgang kam dann häufig weitere Schad-Software auf die infizierten Systeme und schlussendlich wurden dann Daten verschlüsselt. Für den Schlüssel zu den für viele Firmen überlebenswichtigen Daten forderten die Erpresser Lösegeld in häufig 5- bis 6-stelliger Höhe.

Nach der Beschlagnahme der Emotet-Server lieferten diese ein Update an die infizierten System aus, das die Schadfunktion deaktivierte und zur Beweismittelsicherung in einen Quarantäne-Ordner verschob. Außerdem spendierten die Ermittler dem Update eine Funktion uninstall_emotet(), die am 25. April aktiv wurde und die Emotet-Reste entfernte.

Die nachgeladene Schad-Software ist jedoch ein Problem: Die stammt nämlich von anderen Banden wie Ryuk und wurde nicht stillgelegt. Die Ryuk-Hintertür könnte somit auf infizierten Systemen nach wie vor aktiv sein. Die Ermittler haben ihre Reinigungsaktion ausschließlich auf die eigentliche Emotet-Schadsoftware beschränkt. Und schon diese Aktion führte zu Diskussionen, ob das denn erlaubt sei. Über das Thema "Was darf der Staat" am Beispiel Emotet diskutieren wir deshalb auch auf der heise Security Tour im Juni. Dort unter anderem mit Tillmann Werner, der selbst bereits an Botnet-Takedowns beteiligt war.

(ju)