Emotet – Ein zerstörerisches Comeback

Lesezeit
2 Minuten
Bis jetzt gelesen

Emotet – Ein zerstörerisches Comeback

07.12.2022 - 14:00
Veröffentlicht in:

Im Jahr 2014 tauchte Emotet zum ersten Mal auf – zunächst als bescheidener Banking-Trojaner. Doch die Cyberkriminellen hinter der Malware dachten weiter: Sie boten als eine der ersten Gruppen Malware-as-a-Service an und nutzen es erfolgreich, um ein massives Botnetz infizierter Systeme aufzubauen und den Zugang an Dritte zu verkaufen. Nach langer Ruheperiode gab es Ende 2021 ein Comeback – und zwar ein rasantes: Bis April 2022 stiegen die Emotet-Fälle um ganze 2700 Prozent. Unser Fachartikel trägt einige Erkenntnisse zu den neuen Methoden und Gefahren von Emotet zusammen.

Auch wenn die Emotet-Akteure im Jahr 2014 zunächst eher verhalten auftraten, erreichte die Malware-Durchdringung in den Jahren 2019 und 2020 einen vorläufigen Höhepunkt. Dabei wurde insbesondere die Verunsicherung der Bevölkerung aufgrund der COVID-19-Pandemie ausgenutzt. So überzogen die kriminellen Hacker arglose Nutzer mit einer Flut an Phishing-E-Mails. Diese boten mit vermeintlich interessanten Informationen zur Corona-Lage, wie beispielsweise aktuellen Vorschriften zur Maskennutzung oder zur Impfpflicht einen starken Anreiz zum Öffnen. Dementsprechend groß war auch der Schaden für die User – und der finanzielle Gewinn für die Urheber. Zu Jahresbeginn 2021 bereitete dann eine internationale, von Europol, den Niederlanden und den USA geleitete Task Force dem Spuk ein vorläufiges Ende. Die infrastrukturelle Basis des Emotet-Botnets wurde dabei weitgehend zerschlagen, worauf die Angriffswelle deutlich abebbte.

Dennoch formierte sich die Gruppe nach dem Motto "Totgesagte leben lang" schnell neu und trat Ende 2021 wieder auf den Plan: So starteten die Cyberkriminellen im Frühjahr 2022 erneut eine massive Angriffswelle, bei der sie insbesondere japanische Unternehmen mit aggressiven Phishing-Methoden ins Visier nahmen. In den Folgemonaten wurde die Kampagne schließlich auf weitere Regionen ausgedehnt. Dabei erhielt die Gruppe Unterstützung von einem alten Bekannten, der Trickbot-Vereinigung. Deren Trojaner sorgt dafür, dass Emotet sich mithilfe von Datendiebstahl auf bereits infizierten Computern installiert und die neuen Malwarevarianten herunterlädt – mit fatalen Folgen, wie sich herausstellte: So nahm die Anzahl der dokumentierten Emotet-Attacken innerhalb eines Jahres bis zum ersten Quartal 2022 um satte 2700 Prozent zu.

Malware-as-a-Service als kriminelle Geschäftsidee
Das kriminelle Geschäftsmodell von Malware-as-a-Service, also den Zugang zu einem Botnetz aus infizierten Systemen an Dritte zu veräußern, erwies sich als überaus lukrativ. Daher dauerte es nicht lange, bis auch andere böswillige Hackervereinigungen wie die Ransomware-Gangs Ryuk und Conti die Masche in ihr kriminelles Repertoire übernahmen. Zudem machte Emotet mit dem hinlänglich bekannten Banking-Trojaner Qakbot gemeinsame Sache.

Dabei entwickeln sich die Methoden und Vorgehensweisen der Angreifer kontinuierlich und mit hoher Dynamik weiter, was die Bedrohungslage zunehmend verschärft: Beispielsweise erfreuen sich in Microsoft Excel eingesetzte Makros wachsender Beliebtheit. Deren Infektionsquote stieg im Vergleich zum vierten Quartal 2021 um nahezu 900 Prozent. Die Makros sind mit bösartigem Code verseucht, der sich beim Öffnen des Excel-Dokuments in einer E-Mail aktiviert und massiven Schaden auf dem Zielrechner anrichtet. Diese weiterentwickelten Angriffsszenarien sorgen insbesondere im Unternehmensumfeld für viel Unruhe: Denn die neue Emotet-Variante erfasst und nutzt gestohlene Anmeldedaten in einem bisher nicht gekannten Ausmaß. Mithilfe der geraubten Informationen werden die bösartigen Emotet-Binärdateien dann viral weiterverbreitet.

Umfassende Untersuchung neuer Emotet-Varianten
Führende Expertengremien wie etwa das Cybersecurity-Team von Deep Instinct haben die im Jahr 2022 neu aufgetretenen Varianten und Methoden von Emotet umfassend untersucht. Dabei kam eine Reihe wertvoller neuer Erkenntnisse ans Licht, mit denen sich die aktuelle Bedrohungslage realistisch einschätzen lässt. Zudem dienen sie als Basis, um wirksame Abwehrmechanismen zu entwickeln. Dabei kristallisierte sich beispielsweise heraus, dass knapp die Hälfte der identifizierten Malware verschiedene Arten von Office-Anhängen in E-Mails nutzt. Am häufigsten zur Anwendung kommen hierbei Excel-Tabellen mit 33 Prozent, gefolgt von Dateien und Skripten mit 29 Prozent und Archiven mit 22 Prozent. Das Schlusslicht bilden sonstige Dokumente mit 11 Prozent.

Des Weiteren belegen die Forschungsergebnisse, dass Emotet mittlerweile 64-Bit-Shellcode sowie fortgeschrittenere PowerShell-Skripte und Active Scripting verwendet. Dabei nutzt knapp ein Fünftel aller schädlichen Samples eine Microsoft-Schwachstelle aus dem Jahr 2017 aus. Zudem fanden die Forscherteams heraus, dass mehr als 90 Prozent der Bedrohungen bereits hinlänglich bekannt waren. Bei lediglich einem Zehntel handelte es sich also um völlig neue, bislang unerforschte Angriffsszenarien. Und nicht zuletzt wurde durch die Untersuchungen offenkundig, dass 14 Prozent der per E-Mail versendeten Malware mindestens einen Gateway-Sicherheitsscanner überwunden hat, ehe sie schließlich abgefangen werden konnte.
 

Eines machen die Untersuchungsergebnisse deutlich: Auch wenn Emotet nach wie vor mit altbekannten Angriffsvektoren arbeitet, gewinnt die Malware dennoch zunehmend an Durchschlagskraft. Denn die Attacken zeichnen sich durch immer mehr Raffinesse aus und sind in der Lage, die Sicherheitsmechanismen aktueller Standardsysteme zu überwinden. So lassen sich immer weniger Emotet-Angriffsarten erkennen und verlässlich herausfiltern.
 
 
 
  Seite 1 von 2 Nächste Seite >>

 


ln/Kevin Börner, Distinguished Sales Engineer EMEA bei Deep Instinct
 

 

Ähnliche Beiträge

Mit Mikrosegmentierung Sicherheitsrisiken minimieren

Netzwerksegmentierung dient der Abwehr von Schadsoftware, die sich nach der Infiltration des Netzwerks seitlich darin ausbreitet. Die Mikrosegmentierung untergliedert noch granularer, sodass zwischen einzelnen Unterbereichen des Netzwerks der Zugang beschränkt ist. Werden diese beiden Methoden miteinander kombiniert, lässt sich die Cybersicherheit eines Unternehmens merklich verbessern und Sicherheitsrisiken reduzieren.