Meldung

Emotet-Infrastruktur zerschlagen

Die Generalstaatsanwaltschaft Frankfurt am Main und das Bundeskriminalamt haben am gestrigen Dienstag die Infrastruktur der überaus gefährlichen Schadsoftware Emotet übernommen und zerschlagen. Dabei handelte es sich um eine international konzertierte Aktion mit Strafverfolgungsbehörden aus europäischen Staaten, Kanada, den USA sowie Europol und Eurojust.
Ermittlern ist ein wesentlicher Schlag gegen die Emotet-Infrastruktur gelungen.
Emotet galt als derzeit gefährlichste Schadsoftware weltweit und hat auch in Deutschland neben Computern zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert, wie beispielsweise die des Klinikums Fürth, des Kammergerichts Berlin, der Bundesanstalt für Immobilienaufgaben (BImA) oder der Stadt Frankfurt am Main.

Emotet besaß als sogenannter "Downloader" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen Botnetzes wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der "Underground Economy" gegen Entgelt angeboten.

Deshalb kann das kriminelle Geschäftsmodell von Emotet als Malware-as-a-Service bezeichnet werden. Es bot weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe. Alleine in Deutschland ist durch Infektionen mit der Malware Emotet oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.

Ermittlungen seit 2018
Die Ermittlungen der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) [1] und des Bundeskriminalamts (BKA) [2] gegen die Betreiber der Schadsoftware Emotet und des Emotet-Botnetzes wegen des Verdachts des gemeinschaftlichen gewerbsmäßigen Computerbetruges und anderer Straftaten werden seit August 2018 geführt.

Im Rahmen dieses Ermittlungsverfahrens wurden zunächst in Deutschland verschiedene Server identifiziert, mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschlüsselter Kommunikation kontrolliert und gesteuert werden. Umfangreiche Analysen der ermittelten Daten führten zu der Identifizierung weiterer Server in mehreren europäischen Staaten. So konnten im Wege der internationalen Rechtshilfe weitere Daten erlangt und die Emotet-Infrastruktur durch Beamte des BKA und der internationalen Partnerdienststellen immer weiter aufgedeckt werden.

17 Server in Deutschland beschlagnahmt
Da sich die auf diese Weise identifizierten Bestandteile der Emotet-Infrastruktur in mehreren Ländern befinden, sind die gestrigen Maßnahmen zum "Takedown" auf Initiative von ZIT und BKA in enger Kooperation mit den betroffenen internationalen Strafverfolgungsbehörden durchgeführt worden. Beamte des BKA sowie Staatsanwälte der ZIT haben dabei in Deutschland bisher bereits 17 Server beschlagnahmt. Daneben sind auf Ersuchen der deutschen Strafverfolgungsbehörden auch in den Niederlanden, in Litauen und in der Ukraine im Rahmen von internationalen Rechtshilfemaßnahmen weitere Server beschlagnahmt worden.

Durch dieses von Europol und Eurojust koordinierte Vorgehen ist es nicht nur gelungen, den Zugriff der Täter auf die Emotet-Infrastruktur zu unterbinden. Auch umfangreiche Beweismittel wurden demnach gesichert. Zudem konnte im Rahmen der Rechtshilfemaßnahmen in der Ukraine bei einem der mutmaßlichen Betreiber die Kontrolle über die Emotet-Infrastruktur übernommen werden.

Schadsoftware unbrauchbar gemacht
Durch die Übernahme der Kontrolle über die Emotet-Infrastruktur war es möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen. Um den Tätern jegliche Möglichkeit zu nehmen, die Kontrolle zurück zu erlangen, wurde die Schadsoftware auf den Opfersystemen in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst, dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können. Die dabei erlangten Informationen über die Opfersysteme wie etwa öffentliche IP-Adressen werden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt.

Das BSI benachrichtigt die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Provider werden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stellt das BSI Informationen zur Bereinigung betroffener Systeme zur Verfügung. Für ZIT und BKA stellt das Zerschlagen der Emotet-Infrastruktur einen bedeutenden Schlag gegen die international organisierte Internetkriminalität und zugleich eine wesentliche Verbesserung der Cybersicherheit in Deutschland dar.
27.01.2021/dr

Tipps & Tools

Monitorständer mit Audio- und USB-Anschluss [28.02.2021]

Home Office ist für viele lästig, oftmals weil die gewohnte Ausstattung aus dem Büro fehlt. Bevor Sie mit dem Notebook unbequem in der Küche oder am Wohnzimmertisch hocken, sollten Sie einen Blick auf den Monitorständer "M-DESK F1" von DeepCool werfen. Dieser sorgt für bessere Ergonomie beim Arbeiten und verfügt zudem über Audio- und USB-Anschlüsse. [mehr]

Hybrid-PDF erstellen [27.02.2021]

Das PDF-Format bietet viele Vorteile: beispielsweise lassen sich Dokumente auf verschiedenen Geräten genauso darstellen, wie sie gespeichert wurden. Zudem belegen PDFs kaum Speicherplatz auf dem PC, da Bilder komprimiert werden. Allerdings ist es nicht möglich, die fertigen Dateien zu editieren. Unser Tipp zeigt, wie Sie unter LibreOffice ein Hybrid-PDF exportieren, das die nachträgliche Bearbeitung erlaubt. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen