Fachartikel

Emotet – Ein zerstörerisches Comeback

Im Jahr 2014 tauchte Emotet zum ersten Mal auf – zunächst als bescheidener Banking-Trojaner. Doch die Cyberkriminellen hinter der Malware dachten weiter: Sie boten als eine der ersten Gruppen Malware-as-a-Service an und nutzen es erfolgreich, um ein massives Botnetz infizierter Systeme aufzubauen und den Zugang an Dritte zu verkaufen. Nach langer Ruheperiode gab es Ende 2021 ein Comeback – und zwar ein rasantes: Bis April 2022 stiegen die Emotet-Fälle um ganze 2700 Prozent. Unser Fachartikel trägt einige Erkenntnisse zu den neuen Methoden und Gefahren von Emotet zusammen.
Die Emotet-Hacker haben Malware zu einem gefürchteten Geschäftsmodell gemacht.
Auch wenn die Emotet-Akteure im Jahr 2014 zunächst eher verhalten auftraten, erreichte die Malware-Durchdringung in den Jahren 2019 und 2020 einen vorläufigen Höhepunkt. Dabei wurde insbesondere die Verunsicherung der Bevölkerung aufgrund der COVID-19-Pandemie ausgenutzt. So überzogen die kriminellen Hacker arglose Nutzer mit einer Flut an Phishing-E-Mails. Diese boten mit vermeintlich interessanten Informationen zur Corona-Lage, wie beispielsweise aktuellen Vorschriften zur Maskennutzung oder zur Impfpflicht einen starken Anreiz zum Öffnen. Dementsprechend groß war auch der Schaden für die User – und der finanzielle Gewinn für die Urheber. Zu Jahresbeginn 2021 bereitete dann eine internationale, von Europol, den Niederlanden und den USA geleitete Task Force dem Spuk ein vorläufiges Ende. Die infrastrukturelle Basis des Emotet-Botnets wurde dabei weitgehend zerschlagen, worauf die Angriffswelle deutlich abebbte.

Dennoch formierte sich die Gruppe nach dem Motto "Totgesagte leben lang" schnell neu und trat Ende 2021 wieder auf den Plan: So starteten die Cyberkriminellen im Frühjahr 2022 erneut eine massive Angriffswelle, bei der sie insbesondere japanische Unternehmen mit aggressiven Phishing-Methoden ins Visier nahmen. In den Folgemonaten wurde die Kampagne schließlich auf weitere Regionen ausgedehnt. Dabei erhielt die Gruppe Unterstützung von einem alten Bekannten, der Trickbot-Vereinigung. Deren Trojaner sorgt dafür, dass Emotet sich mithilfe von Datendiebstahl auf bereits infizierten Computern installiert und die neuen Malwarevarianten herunterlädt – mit fatalen Folgen, wie sich herausstellte: So nahm die Anzahl der dokumentierten Emotet-Attacken innerhalb eines Jahres bis zum ersten Quartal 2022 um satte 2700 Prozent zu.
Malware-as-a-Service als kriminelle Geschäftsidee
Das kriminelle Geschäftsmodell von Malware-as-a-Service, also den Zugang zu einem Botnetz aus infizierten Systemen an Dritte zu veräußern, erwies sich als überaus lukrativ. Daher dauerte es nicht lange, bis auch andere böswillige Hackervereinigungen wie die Ransomware-Gangs Ryuk und Conti die Masche in ihr kriminelles Repertoire übernahmen. Zudem machte Emotet mit dem hinlänglich bekannten Banking-Trojaner Qakbot gemeinsame Sache.

Dabei entwickeln sich die Methoden und Vorgehensweisen der Angreifer kontinuierlich und mit hoher Dynamik weiter, was die Bedrohungslage zunehmend verschärft: Beispielsweise erfreuen sich in Microsoft Excel eingesetzte Makros wachsender Beliebtheit. Deren Infektionsquote stieg im Vergleich zum vierten Quartal 2021 um nahezu 900 Prozent. Die Makros sind mit bösartigem Code verseucht, der sich beim Öffnen des Excel-Dokuments in einer E-Mail aktiviert und massiven Schaden auf dem Zielrechner anrichtet. Diese weiterentwickelten Angriffsszenarien sorgen insbesondere im Unternehmensumfeld für viel Unruhe: Denn die neue Emotet-Variante erfasst und nutzt gestohlene Anmeldedaten in einem bisher nicht gekannten Ausmaß. Mithilfe der geraubten Informationen werden die bösartigen Emotet-Binärdateien dann viral weiterverbreitet.

Umfassende Untersuchung neuer Emotet-Varianten
Führende Expertengremien wie etwa das Cybersecurity-Team von Deep Instinct haben die im Jahr 2022 neu aufgetretenen Varianten und Methoden von Emotet umfassend untersucht. Dabei kam eine Reihe wertvoller neuer Erkenntnisse ans Licht, mit denen sich die aktuelle Bedrohungslage realistisch einschätzen lässt. Zudem dienen sie als Basis, um wirksame Abwehrmechanismen zu entwickeln. Dabei kristallisierte sich beispielsweise heraus, dass knapp die Hälfte der identifizierten Malware verschiedene Arten von Office-Anhängen in E-Mails nutzt. Am häufigsten zur Anwendung kommen hierbei Excel-Tabellen mit 33 Prozent, gefolgt von Dateien und Skripten mit 29 Prozent und Archiven mit 22 Prozent. Das Schlusslicht bilden sonstige Dokumente mit 11 Prozent.

Des Weiteren belegen die Forschungsergebnisse, dass Emotet mittlerweile 64-Bit-Shellcode sowie fortgeschrittenere PowerShell-Skripte und Active Scripting verwendet. Dabei nutzt knapp ein Fünftel aller schädlichen Samples eine Microsoft-Schwachstelle aus dem Jahr 2017 aus. Zudem fanden die Forscherteams heraus, dass mehr als 90 Prozent der Bedrohungen bereits hinlänglich bekannt waren. Bei lediglich einem Zehntel handelte es sich also um völlig neue, bislang unerforschte Angriffsszenarien. Und nicht zuletzt wurde durch die Untersuchungen offenkundig, dass 14 Prozent der per E-Mail versendeten Malware mindestens einen Gateway-Sicherheitsscanner überwunden hat, ehe sie schließlich abgefangen werden konnte.

Eines machen die Untersuchungsergebnisse deutlich: Auch wenn Emotet nach wie vor mit altbekannten Angriffsvektoren arbeitet, gewinnt die Malware dennoch zunehmend an Durchschlagskraft. Denn die Attacken zeichnen sich durch immer mehr Raffinesse aus und sind in der Lage, die Sicherheitsmechanismen aktueller Standardsysteme zu überwinden. So lassen sich immer weniger Emotet-Angriffsarten erkennen und verlässlich herausfiltern.



Seite 1 von 2 Nächste Seite >>
7.12.2022/ln/Kevin Börner, Distinguished Sales Engineer EMEA bei Deep Instinct

Nachrichten

Heimlich infizierte USB-Geräte [27.01.2023]

Palo Alto Networks Unit 42 hat eine Untersuchung von Tools veröffentlicht, die das Team bei der Reaktion auf einen Ransomware-Angriff durch die Hacker-Gruppe Black Basta beobachtete. Hierbei identifizierten die Experten mehrere interessante Werkzeuge auf den Rechnern der Opfer, darunter die GootLoader-Malware, das Red-Teaming-Tool Brute Ratel C4 sowie ein älteres PlugX-Malware-Sample. [mehr]

Windows-Kryptoschwachstelle unter der Lupe [26.01.2023]

Akamai Security Research hat eine kritische Schwachstelle in der Windows CryptoAPI untersucht, die von der National Security Agency und dem National Cyber Security Center gegenüber Microsoft offengelegt wurde. Neu an dem Ansatz ist, dass Akamai als erster den Fehler mit realen Werkzeugen angegangen ist, um zu zeigen, wie er böswillig genutzt werden kann. [mehr]

Tipps & Tools

Jetzt vorbestellen: Sonderheft I/2023 "Cloud Security" [16.01.2023]

Der Gang in die Cloud bringt für Unternehmen ganz neue Anforderungen an die IT-Sicherheit mit sich. In unserem neuen Sonderheft Cloud Security zeigt das Autorenteam daher Wege auf, AWS, Azure, GCP und lokale Clouds vor unbefugten Zugriffen und Datenverlust zu schützen. Auf 180 Seiten stellt das Sonderheft praxisnahe Vorgehensweisen zur Absicherung von Infrastruktur, Applikationen und Identitäten vor. [mehr]

Online-Intensivseminar "Azure-Administration" [28.11.2022]

Das neue Intensivseminar "Azure-Administration" vermittelt an drei Tagen online, wie Sie Ihre Azure-Abonnements verwalten, Identitäten sichern, die Infrastruktur administrieren sowie virtuelle Netzwerke konfigurieren. Daneben zeigen wir, auf welchem Weg Sie Azure- und lokale Standorte richtig verbinden, den Netzwerkverkehr verwalten, Speicherlösungen implementieren, virtuelle Maschinen erstellen, Managed Services in Anspruch nehmen, Daten sichern und Ihre Umgebung überwachen. Sichern Sie sich rasch Ihren Platz für das Intensivseminar, das vom 29. bis zum 31. März 2023 stattfindet – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen