Requiem für Emotet von Trustwave

Kürzlich ist es gelungen, das erfolgreichste und weitverbreitetste Botnet Emotet zu zerschlagen. Seit dem Jahr 2014 war der Malware-Stamm, der es hauptsächlich auf den Bankensektor abgesehen hatte, aktiv. Im Laufe der Jahre infizierte Emotet Millionen Computer und verursachte so einen immensen Schaden. Doch ist die Bedrohung wirklich verschwunden?

Trustwave, Anbieter von Cybersicherheitslösungen und Managed-Security-Services mit dem Fokus auf Threat-Detection and Response, hat die Zerschlagung von Emotet zum Anlass genommen, um nochmals auf die Geschichte der Top-Gefährdung zurückzublicken. Im Rahmen dessen gibt Phil Hay, Research Manager bei Trustwave SpiderLabs, einen ausführlichen Einblick, was es mit dem Botnet auf sich hat, wie es abgeschaltet wurde und ob vom Ende Emotet-ähnlicher Malware auszugehen ist:

„Vor Kurzem ist es gelungen, den berüchtigten Botnet Emotet zu zerschlagen. Dies haben wir zum Anlass genommen, um die lange Geschichte des Malware-Stamms und die damit verbundene Cybercrime-Operation Revue passieren zu lassen. Dazu haben wir Phil Hay, Research Manager bei Trustwave SpiderLabs, der seit Beginn die Emotet-Bedrohung verfolgt und vereitelt, nach seinem Standpunkt gefragt.

Was ist Emotet?

Emotet war wahrscheinlich das erfolgreichste und weit verbreitetste Botnet, das die Cybersecurity-Branche je gesehen hat. Wie das US-Justizministerium berichtet hat, infizierte Emotet über 1,6 Millionen Computer und verursachte einen Schaden in Höhe von mehreren Hundert Millionen Dollar.

Die Angriffe wurden erstmals 2014 entdeckt und zielten hauptsächlich auf den Bankensektor ab. In den Jahren 2016 und 2017 begannen Trustwave und andere Forscher, nach weit verbreiteten Phishing-Kampagnen zu suchen, die versuchten, Malware-Anhänge und andere bösartige Nutzlasten bereitzustellen. 2019 war Emotet immer noch so aktiv, dass Trustwave erneut davor warnte. Auch ein Jahr später wurde die Malware nach wie vor als eine der Top-Bedrohungen im Trustwave-Global-Security-Report aufgeführt.

Emotet startete als Trojaner, der es auf den Diebstahl von Daten abgesehen hatte. Im Laufe der Zeit wandelte er sich jedoch zunehmend und wurde immer modularer, stahl Informationen oder installierte zusätzliche Malware wie Ransomware oder andere Data Stealer. Aus der Perspektive der E-Mail-Sicherheit zeichnete sich Emotet dadurch aus, dass er schädliche E-Mails über legitime SMTP-Server verteilte. Außerdem wurde der E-Mail-Verkehr abgehört, E-Mail-Text abgefangen sowie Text aus früheren Nachrichten in der neuen E-Mail zitiert, um legitimer zu erscheinen und unter dem Radar zu bleiben.“

Hauptsächlich wurde Emotet über Spam-E-Mails verbreitet, wobei gängige Anhangstypen wie Word-, PDF- oder Excel-Dateien verwendet wurden (manchmal waren die Dateien auch nur ein Link in der E-Mail). Bei einigen der fortgeschritteneren Angriffe versteckten sich Schadcodes oder Makros sogar in den angehängten Dateien selbst.

Mit der Zeit baute die kriminelle Vereinigung, die hinter dem Angriff stand, ihr eigenes Netzwerk infizierter Server auf und verkaufte den Zugriff auf diese Server als Malware-as-a-Service. Manchmal veräußerten sie den Zugang zu bestimmten Computern oder Servern – so wurde das Botnet im Laufe der Jahre zur Ausgangsbasis für zahlreiche andere kriminelle Operationen, beispielsweise Trickbot. In anderen Fällen lieferten die Kriminellen im Auftrag anderer Hacker Payloads gegen eine Gebühr aus, was sie zu einer Art „Cybercrime-for-hire“-Operation machte.

Emotet hat es geschafft, seine Malware am E-Mail-Gateway-Scanning vorbeizuschleusen und auf Systemen zu etablieren. Es handelt sich um eine Weiterentwicklung bei der Verbreitung von Spam-Malware, weg von großen Botnet-Templates, hin zu etwas Kleinerem, das besser auf den Empfänger zugeschnitten ist und eher unter dem Radar bleiben kann.

Wie wurde Emotet abgeschaltet?

Im Januar 2021 wurde die Emotet-Infrastruktur von einer Koalition internationaler Strafverfolgungsbehörden aus den USA, Kanada, Großbritannien und anderen Ländern gestört und zerschlagen. Das FBI konnte sich von innen heraus Zugang zu den Distributionsservern verschaffen und effektiv die Kontrolle über sie übernehmen. In der Ukraine wurden zwei Mitglieder der kriminellen Gruppe verhaftet. Die beschlagnahmte Ausrüstung umfasste Computer, Bargeld und Goldbarren.

Ist die Bedrohung durch Emotet also für immer verschwunden? Wie bei aller Cyberkriminalität lässt sich dies leider nicht so einfach beantworten.

Es ist immer eine gute Nachricht, wenn wir von der Zerschlagung von Botnets hören, denn jede Möglichkeit, die Bösewichte zu schwächen oder von etwas abzuhalten, ist gut. Allerdings bedeutet die Unterbrechung eines Botnets nicht immer das Ende der Geschichte. Oft kommen sie mit einer ähnlichen Kreation zurück und fangen von vorn an. Das haben wir in der Vergangenheit schon häufiger gesehen. Ich glaube also nicht, dass wir das Ende von Emotet-ähnlicher Malware gesehen haben.

Für Unternehmen umfasst der Schutz vor Exploits wie der nächsten Iteration von Emotet einen umfassenden Ansatz, einschließlich Secure-E-Mail Gatewaysproaktiver Threat-Hunting-Programme sowie Managed-Threat Detection and Response. Am wichtigsten ist, dass Unternehmen ihre IT-Produkte rechtzeitig patchen, da sich Botnet- und Malware-Exploits ständig weiterentwickeln. Auch ein solides Schulungsprogramm für Cybersecurity-Mitarbeiter kann dazu beitragen, Phishing-Angriffe wie kompromittierende E-Mails besser zu erkennen und zu vereiteln.

#Trustwave