Seit Anfang 2021 war es nach der Zerschlagung der Infrastruktur durch Behörden ruhig um Emotet geworden. Seit dem vergangenen Wochenende ist der König der Ransomware wieder aktiv und wird in mehr und mehr IT-Systemen entdeckt. Nachdem Emotet als Banking-Trojaner berühmt wurde, hat er sich in den letzten Jahren als Zugangs-Broker weiterentwickelt, der unterschiedlichen Ransomware-Gruppierungen Zugriff auf die Systeme der Opfer verschaffte.
Die Sicherheitsforscher von Zscaler haben auch die Verteilung der Emotet-Schadsoftware über Spam E-Mail-Kampagnen beobachtet. Erste Analysen zeigen, dass die neue Version der Emotet-Malware ihren früheren Varianten in vielen Aspekten ähnelt. Doch es wurden auch einige Änderungen festgestellt beispielsweise bei den Command-&Control (C&C)-Daten und der verwendeten Verschlüsselung. Emotet scheint auch HTTPS anstelle von einfachem HTTP für die C&C-Kommuniaktion zu verwenden, um der frühen Erkennung zu entgehen. Es sieht so aus, als ob die meisten Funktionen mit denen früherer Varianten übereinstimmen.
Der König der Schadsoftware versucht also erneut, sein Unwesen lückenlos dort fortzusetzen, wo er vor der Zerschlagung aktiv war: es bleibt das Ziel, Ransomware-Gruppen einen ersten Zugang zu den IT-Systemen von Unternehmen zu ermöglichen und damit tritt ein erfolgreicher Malware-Akteur erneut auf den Plan, um die Ransomware-Aktivitäten wieder anzuheizen.
Wie aus dem angehängten Screenshot einer Spam-E-Mail hervorgeht, setzt Emotet in seinen Spam-Kampagnen zunächst eine Reply-Chain-Strategie ein. Als Anhänge werden MS-Word-Dokumente „.docm“, MS-Excel „.xlsm“ und passwortgeschützte „.zip“-Dateien verwendet.
Zscaler erkennt die Erstinfektion in der Cloud-Sandbox. Weitere Analysen folgen und werden laufend auf dem Zscaler-Blog veröffentlicht.
#Zscaler