Europol hat einen Schlag gegen das berüchtigte Emotet-Botnetz geführt, eine der langlebigsten und am weitverbreitetsten Malware-Bedrohungen. Wie bekannt gegeben wurde, waren bei der konzertierten Aktion eine Reihe von nationalen Strafverfolgungsbehörden aus Europa und Nordamerika beteiligt.
Das deutsche Bundeskriminalamt sowie Behörden der Niederlande, der Vereinigten Staaten, England, Frankreich, Litauen, Kanada und der Ukraine hatten sich zusammengeschlossen, um die Kontrolle über die Infrastruktur des Botnetzes zu erlangen und es so "von innen heraus" zu zerschlagen, so Strafverfolgungsbehörde der Europäischen Union.
„Die infizierten Maschinen der Opfer wurden angewiesen nur noch Daten an von den Strafverfolgungsbehörden kontrollierte Infrastruktur zu senden. Dies ist ein einzigartiger und neuer Ansatz, um die Aktivitäten der Cyberkriminellen effektiv zu stören“, so Europol. Die Agentur koordinierte die Bemühungen zusammen mit Eurojust, der Justizbehörde der EU.
Insgesamt wurden nach Angaben der britischen National Crime Agency rund 700 Command-and-Control-Server (C&C) offline geschaltet. Die Betreiber von Emotet nutzten die Server unter anderem, um die kompromittierten Computer zu befehligen, neue schädliche Kampagnen zu starten und die Ausfallsicherheit ihrer Infrastruktur zu verbessern.
Zwei der drei Hauptserver des Botnetzes befanden sich in den Niederlanden, sagte die niederländische Polizei, die der Operation unter den Namen "Operation LadyBird" gegeben hat. Das deutsche Bundekriminalamt BKA sprach von 17 Servern, die in der Bundesrepublik und viele weiteren, die, nach Hinweisen, von Partnerbehörden im Ausland beschlagnahmt werden konnten. Weltweit wurden mehr als eine Million gefährdeter Systeme entdeckt. Sie werden jetzt von Emotet befreit, indem automatisch ein Software-Updates von Servern niederländischer Behörden verteilt werden.
Bei der Untersuchung wurde auch eine Datenbank mit 600.000 E-Mail-Adressen, Benutzernamen und Passwörtern entdeckt, die von den Betreibern des Botnetzes gestohlen worden waren. Die niederländische Polizei hat eine Seite gestartet, auf der man im Verdachtsfall überprüfen kann, ob eigene Computer möglicherweise auch in das Botnetz eingebunden worden waren.
Währenddessen veröffentlichte die Polizei in der Ukraine ein Video, das eine Razzia in der Wohnung eines mutmaßlichen Emotet-Betreibers zeigt. Reuters zitierte die ukrainischen Behörden mit den Worten, dass der durch Emotet verursachte Schaden 2,5 Milliarden US-Dollar beträgt.
Die gefährlichste Schadsoftware
Emotet wurde erstmals 2014 als Banking-Trojaner entdeckt und etablierte sich schnell als herausragender und berüchtigter Akteur in der Cybercrime-as-a-Service-Wirtschaft. Dazu entwickelte es sich zum Malware-Äquivalent eines Schweizer Taschenmessers, das seinen Opfern unermesslichen Schaden zufügen konnte. Aufgrund seiner Modularität wurde das Botnetz in der Regel an andere Cyber-Kriminelle vermietet, die zusätzliche Malware, wie Beispielsweise Ransomware und Banking-Trojaner, auf die Maschinen der Opfer bringen wollten. Zu den Bedrohungen, die zuletzt damit in Verbindung gebracht wurden, gehörte Trickbot, ein Botnetz, das im Oktober letzten Jahres zerschlagen wurde.
Emotet gelangt normalerweise im Schlepptau einer harmlos aussehenden E-Mail auf den Computer, welche einen schädlichen Anhang oder Link enthält und verschiedene raffinierte Social-Engineering-Taktiken verwendet, um die Opfer zum Öffnen der mit Malware verseuchten Datei zu verleiten. Nachdem es in einem Netzwerk Fuß gefasst hat, nutzt es seine wurmartigen Fähigkeiten, um sich auf andere Computer im gleichen Netzwerk auszubreiten.
Berüchtigt ist das Botnetz auch bekannt für seine wechselhaften Aktivitätszustände. Spamartigen, weitreichenden Attacken folgten oft monatelange Ruhezustände. So verlockend es daher jetzt auch sein mag, zu glauben, dass das berüchtigte „Ungeheuer“ nach einer solchen Operation völlig zerschlagen ist, darf man nicht vergessen, dass das Ausschalten eines Botnetzes dieser Größenordnung eine äußerst komplexe Aufgabe ist.
Und selbst wenn Emotet jetzt Geschichte sein sollte, ist dies kein Grund in der eigenen Wachsamkeit nachzulassen.
Weiterführende Artikel
Im Laufe der Jahre haben ESET-Forscher in mehreren Artikeln die Methoden von Emotet beleuchtet und einige der neuesten Kampagnen in den ESET Threat Reports analysiert.
Emotet botnet hits quiet patch before Black Friday – the calm before the storm?
Emotet strikes Quebec’s Department of Justice: An ESET Analysis
Analysis of the latest Emotet propagation campaign
Black Friday News: Emotet flutet E‑Mail‑Postfächer mit schädlichen Anhängen
Emotet startet neue Spam‑Kampagne
Emotet: ESET‑Experten analysieren Banking‑Malware