Foto: peter jesche - shutterstock.com
G Data hat Ergebnisse seiner IT-Sicherheitsanalysten veröffentlicht, wonach Unternehmen mit einer neuen Variante der Schadsoftware neue Angriffswellen bevorstehen könnten. Emotet sorgte bis Anfang des Jahres 2021 immer wieder für Schlagzeilen, weil nach Angriffen damit zahlreiche Stadtverwaltungen, aber auch Krankenhäuser und Unternehmen stillstanden. Allein in Deutschland hat Emotet Schäden von mindestens 14,5 Millionen Euro verursacht. Die Malware diente meist als Türöffner: Nach der Infektion mit Emotet folgte oft eine Erpressung des Unternehmens mit einem weiteren Verschlüsselungstrojaner.
Anfang des Jahres wurde das für die Verbreitung von Emotet genutzte Botnet in einer gemeinsamen Aktion internationaler Sicherheitsbehörden zerschlagen. "Der international koordinierte Takedown von Emotet hat über viele Monate Wirkung gezeigt und viele Opfer vor Schaden bewahrt", erklärt Tilman Frosch, Geschäftsführer bei G Data Advanced Analytics. "Unsere aktuellen Analysen zeigen gleichwohl, dass Emotet jetzt zurückgekehrt ist." Beleg sei die von seinem Team durchgeführte manuelle Analyse aktueller Schadsoftware-Samples.
Demnach weist das neue Emotet-Sample mehrere technische Ähnlichkeiten zur ursprünglichen Schadsoftware auf. Insbesondere der Vergleich des Quellcodes zeige, dass beide ähnliche Strukturen aufweisen. Im Gegensatz zu den früher bekannten Emotet-Varianten wird der Netzwerkverkehr zwar weiterhin per HTTPS verschlüsselt, es wird jedoch ein selbst-signiertes Zertifikat genutzt.
Bisher sind G Data zufolge "keine nennenswerten Spam-Aktivitäten im Zusammenhang mit Emotet aufgefallen." Emotet werde nach derzeitigem Erkenntnisstand über die Infrastruktur der Malware Trickbot verbreitet. Das eigene Botnetz wurde durch den Takedown im Januar offenbar nachhaltig zerstört.
Auch Zscaler hat festgestellt, dass die Malware seit vergangenem Wochenende wieder aktiv ist. Erste Analysen der Sicherheitsforscher von Zscaler bestätigen die Erkenntnisse der G-Data-Experten, dass die neue Version der früheren Varianten der Emotet-Malware in vielen Aspekten ähnelt. Auch die Änderungen an der Command-&Control -Struktur und der verwendeten Verschlüsselung haben sie ebenfalls beobachtet.
Allerdings setzen laut Zscaler die Hintermänner der neuen Emotet-Malware diese bereits in ersten Spam-Kampagnen ein. Sie nutzten dabei die sogenannte "Reply-Chain-Strategie" und infizierte Anhänge, die als Microsoft-Word-Dokumente mit der Endung ".docm", als Microsoft-Excel-Dokument mit der Dateiendung ".xlsm" oder als passwortgeschützte ".zip"-Dateien getarnt sind.
Richard Werner, Business Consultant bei Trend Micro, ist grundsätzlich nicht überrascht, das Emotet ein Comeback feiert: "Das Geschäftsmodell von Emotet, inklusive der von der Gruppierung erstellten Datenbasis, war – aus Untergrundsicht – eines der erfolgreichsten der letzten Jahre." Trend Micro hatte bereits nach dem Schlag der Ermittlungsbehörden im Januar lediglich von einer „Atempause“ gesprochen. Hinter den Angriffen stünden organisierte Verbrecher mit mafiösen Strukturen - die ließen sich von einigen wenige Festnahmen und Beeinträchtigungen der verwendeten Infrastruktur nicht ohne weiteres aufhalten.
Mehr zur Malware Emotet
Experten zur Ransomware-Attacke auf Krauss Maffei
Potsdam geht aus Sicherheitsgründen offline