Emotet ist das Kaiserslautern der Schadprogramme. Der Trojaner konnte im Januar 2021 verdrängt werden, kam aber im November mit ganzer Stärke zurück. Im Februar 2022 war Emotet die Top-Malware.
In der Saison 1997/1998 schaffte der Fußballclub Kaiserslautern etwas, das vorher und auch seither keinem anderen Erstligaverein gelang: Der aus der zweiten Liga aufgestiegene Verein gewann die Meisterschaft – die „roten Teufel“ waren Aufsteigermeister.
Auch „Emotet“ hat ein furioses Comeback geschafft. Bis Anfang 2021 zählte die Malware zu den gefährlichsten Computer-Schadprogrammen; zahlreiche Verwaltungen, Universitäten, Kliniken und Kommunen wurden Opfer des Trojaners, der sich in eMail-Anhängen versteckt. Wird der Anhang geöffnet, lädt das Programm Überwachungssoftware oder nachfolgend auch Ransomware auf den Rechner.
Der Schaden bei den betroffenen Einrichtungen war teils immens. Bürgerbüros blieben geschlossen, Kliniken mussten Operationen verschieben, Computer waren nur noch als Offline-Schreibmaschine nutzbar. Laut Bundeskriminalamt (BKA) ist alleine in Deutschland durch Infektionen mit Emotet und nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro entstanden.
Die Erleichterung war daher groß, als das BKA im Januar 2021 bekannt gab, gemeinsam mit Europol und Eurojust die Malware zerschlagen zu haben. In Deutschland und anderen europäischen Ländern wurden dabei zahlreiche Server beschlagnahmt und die Emotet-Infrastrukturen deaktiviert.
Der Trojaner ist zurück
Zehn Monate später war Emotet wieder im Umlauf. „Das Bot-Netz Emotet wurde durch die Hackgruppe Conti wiederbelebt. Die Schlussfolgerung liegt nahe, dass sich ehemalige Mitglieder bei der Conti-Gruppe neu formierten und so an den alten Erfolg angeknüpft haben“, erklärt Christine Schönig, Regional Director Security Engineering bei Check Point. Die als besiegt erklärte Malware tauchte in neuen Varianten ab November 2021 auf und setzte ihren zweifelhaften Siegeszug fort. Derzeit ist das Programm auf Platz eins der Schadprogramme.
Wie das Security-Unternehmen Check Point Software Technnologies ausführt, nutzt Emotet aktuell den Informationsbedarf rund um den Ukraine-Krieg und versteckt sich beispielsweise in eMails mit dem Betreff „Recall“ (Rückruf) und dem Text „Militärischer Konflikt Ukraine-Russland: Wohlergehen unseres ukrainischen Besatzungsmitglieds“. „Derzeit machen sich einige Schadprogramme, darunter Emotet, das öffentliche Interesse am Ukraine-Krieg zunutze, indem sie eMail-Kampagnen zu diesem Thema erstellen, die zum Herunterladen verseuchten Anhänge verleiten sollen“, erklärt Maya Horowitz, VP Research bei Check Point.
Laut Check Point sind dies die Top drei der Schadprogramme:
Malware: Die schlimmsten Drei
1. Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er wurde früher als Banking-Trojaner eingesetzt, dient jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten. 2. Snake Keylogger: Snake ist ein modularer .NET-Keylogger und Credential Stealer, der erstmals Ende November 2020 entdeckt wurde. Seine Hauptfunktion besteht darin, die Tastatureingaben der Benutzer aufzuzeichnen und die gesammelten Daten an die Hacker zu übermitteln. Snake-Infektionen stellen eine große Bedrohung für die Privatsphäre und die Online-Sicherheit der Nutzer dar, da die Malware praktisch alle Arten von sensiblen Informationen stehlen kann und ein besonders hartnäckiger Keylogger ist, der gut einer Entdeckung entgehen kann. 3. FormBook ist ein Infostealer, der auf das Windows-Betriebssystem zielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er starke Ausweichtechniken kennt und einen recht niedrigen Preis kostet. FormBook sammelt und stiehlt Anmeldeinformationen von verschiedenen Webbrowsern, macht Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C herunterladen und ausführen.
Die dabei am häufigsten angegriffenen Branchen und Bereiche in Deutschland sind
„Es ist wichtig, immer zu überprüfen, ob die eMail-Adresse eines Absenders authentisch ist, auf Rechtschreibfehler in eMails zu achten und keine Anhänge zu öffnen oder auf Links zu klicken, wenn Sie den Verdacht haben, dass die eMail unsicher ist“, betont Horowitz.
Kann Emotet langfristig zerschlagen werden?
Ist eine erneute, bestenfalls langfristige Zerschlagung von Emotet möglich? „Die Erkenntnisse der Mitarbeiter von Check Point Research zur Organisation von Hackergruppen zeigen, wie schwierig es ist, die dynamische Struktur von Hacker-Gruppen zu durchschauen und die Akteure dingfest zu machen“, erläutert Christine Schönig.
„Wegen der ständigen Änderungen wird es sicherlich enorm schwierig werden und erfordert erneut die erfolgreiche Kooperation über Ländergrenzen hinaus, doch können hierarchische Strukturen stets ausgemacht werden, wie die Vergangenheit gezeigt hat. Die Zerschlagung sollte daher eine kontinuierliche Aufgabe sein, um so viel Sand wie möglich in das gut geölte Getriebe der Hacker-Gruppen zu streuen“, ergänzt Schönig.
Aufklappen für Details zu Ihrer Einwilligung
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.