Die Nachricht darüber, dass Emotet gestoppt ist, hat sich wie ein Lauffeuer verbreitet. In demselben Tempo hat vermutlich die Hoffnung um sich gegriffen, dass die Cyber-Welt damit ein bisschen sicherer wird. Allerdings: Es gibt schon wieder eine Warnung vor Phishing-Attacken zur angeblichen Emotet-Benachrichtigung.
Wir erklären, was es mit der Warnung bezüglich Emotet-Phishing-Mails auf sich hat.
Emotet ist gestoppt, jetzt droht Phishing mit angeblichen Emotet-Benachrichtigungen. Bild: Pexels / Lex Photography
Internationale Aktion stoppt Emotet
Am 27. Januar 2021 verbreitete sich die Nachricht im Eiltempo: Der Emotet-Trojaner ist gestoppt! Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekannt gab, war den Polizeibehörden und Staatsanwaltschaften mehrerer Länder der wichtige Schlag gegen den „König der Schadsoftware“ am Vortag gelungen. Durch eine international koordinierte Aktion konnte die Infrastruktur von Emotet demnach übernommen und zerschlagen werden.
Server auf der ganzen Welt waren in die Emotet-Infrastruktur eingebunden. Sie dienten dazu, die Computer der infizierten Opfer zu verwalten, neue Attacken vorzubereiten und anderen kriminellen Gruppen Malware-as-a-Service anzubieten. Laut BKA konnten zuerst in Deutschland eingebundene Server identifiziert werden, dann kamen Server in anderen europäischen Ländern hinzu. Nach und nach gelang es den Ermittlern, die Emotet-Infrastruktur weiter zu aufzudecken. Gleichzeitig planten die Sicherheitsbehörden den „Takedown“.
Und der ist nun mit der Beschlagnahmung von Servern in Deutschland, Litauen, den Niederlanden und der Ukraine erfolgt. In der Ukraine gelang es schließlich auch, die Kontrolle über die gesamte Emotet-Infrastruktur zu übernehmen. Und jetzt?
Opfer erhalten Emotet-Benachrichtigung
Nach der erfolgreichen Übernahmen ist die Schadsoftware auf den Opfersystemen direkt in Quarantäne verschoben worden, zudem wurden die Kommunikationsparameter so angepasst, dass die infizierten Systeme nur noch mit einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können. Klingt für den Laien recht kompliziert, letztlich zählt für ihn aber vor allem diese Nachricht: Die Kriminellen hinter Emotet können die Kontrolle über die über Jahre hinweg aufgebaute Infrastruktur wohl nicht mehr zurückgewinnen.
Das BSI hat inzwischen auch damit begonnen, die Betroffenen über die Infektion ihrer Computer und Laptops zu informieren. Denn: Viele haben davon bislang rein gar nichts bekommen. Und wie geht das vonstatten? Das BSI erhält zunächst Informationen zu den Opfersystemen und benachrichtigt anschließend die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Die Provider wiederum sind dazu aufgefordert, ihre betroffenen Kunden zu informieren. Das Problem: In einer solchen Emotet-Benachrichtigung wittern Cyber-Kriminelle schon wieder die nächste große Chance.
Emotet-Benachrichtigung: Warnung vor Phishing
Die Verbraucherzentrale NRW warnt: Es ist sehr gut möglich, dass Cyber-Kriminelle Phishing-Mails versenden und dabei einen Internetbetreiber als Absender vortäuschen. Empfänger einer Emotet-Benachrichtigung sollten daher unbedingt folgende Punkte überprüfen:
- E-Mail-Adresse des Absenders: Häufig nutzen die Kriminellen zum Versand ihrer Phishing-Mails Adressen, die gar nichts mit dem vorgetäuschten Unternehmen zu tun haben. Oder: Sie nutzen täuschend ähnliche Adressen mit geringfügigen Abweichungen.
- Begrüßung: Falsche Nachrichten beginnen häufig unpersönlich, sprich nennen den Namen des Adressaten nicht in der Anrede. Das gilt allerdings nicht immer, sodass dieser Punkt zwar ein Indiz, aber keine Garantie bieten kann.
- Rechtschreibung: Phishing-Mails sind bekannt dafür, dass sie in kleiner oder großer Zahl Rechtschreibfehler beinhalten. Genauso tauchen häufig seltsame Begriffe oder Satzkonstruktionen auf. Der Grund dafür ist, dass die Texte häufig maschinell aus anderen Sprachen übersetzt werden.
- Links und Anhänge: Das primäre Ziel von Phishing-Angriffen ist, dass die Opfer auf Links oder Anhänge klicken und dadurch Schadsoftware installieren. Daher sollte bei unbekannten Links und Anhängen immer oberste Vorsicht gelten.
- Zeitnot: Sehr häufig spielen Phishing-Mails auch mit der Aufforderung, dass Adressaten so schnell wie möglich agieren müssen, um Schlimmes zu verhindern. Das Ziel dahinter ist es, dass die Opfer unbedacht agieren und die erhalten Mail nicht auf den Prüfstand stellen.
Sie haben diese Punkte überprüft, sind sich aber dennoch nicht sicher, ob die erhaltene Emotet-Benachrichtigung echt ist? Dann hilft ein Anruf beim Internet-Anbieter, um sich direkt zu informieren. Alternativ können Sie auch zuerst seine Internetseite aufrufen, denn dort sind die verschickten E-Mails meist gespeichert.
Über Emotet-Benachrichtigungen informiert das BSI tatsächlich. Bild: Pexels / Cottonbro / Montage IT-SERVICE.NETWORK
E-Mail-Adresse von Emotet gestohlen?
Die niederländische Polizei hat außerdem eine Emotet-Abfrage für E-Mail-Adressen eingerichtet, die von der Emotet-Malware gestohlen worden sind. Den Link dazu finden Sie am Ende dieses Beitrags. Zur Erinnerung: Emotet ist durch breit angelegte E-Mail-Kampagnen verteilt worden, sodass in den sichergestellten Datensätzen jede Menge E-Mail-Adressen enthalten sind, teils auch Benutzernamen und Passwörter.
Mit Hilfe der Abfrage lässt sich prüfen, ob die eigene E-Mail-Adresse in den sichergestellten Datensätzen auftaucht. Sollte das der Fall sein, erhalten Sie in der Regel innerhalb von Minuten eine E-Mail von der Polizei.
Die Abfrage ist allerdings keine Garantie dafür, dass der Computer frei von jeglicher Schadsoftware ist. Es besteht nämlich durchaus die Möglichkeit, dass er von einem anderen Botnetz infiziert ist. Es empfiehlt sich daher, auch andere Überprüfungsseiten zu nutzen – beispielsweise haveibeenpwned.com.
Emotet-Benachrichtigung echt? Malware entfernen!
Sie oder einer Ihrer Mitarbeiter haben eine Emotet-Benachrichtigung erhalten und die Echtheit festgestellt? Dann sollten Sie diese Nachricht auf jeden Fall ernst nehmen und Ihre Systeme bereinigen. Denn: Wenn eine Emotet-Infektion gelungen ist, könnte auch andere Schadsoftware in Ihre Systeme gelangt sein. Dies ist sogar ziemlich wahrscheinlich. Warum?
Einer der Gründe dafür, dass Emotet vor der Zerschlagung als gefährlichste Malware der Welt galt ist dieser: Häufig fungierte Emotet als Türöffner für weitere Schadprogramme. Vor allem Trickbot, Ryuk und QuakBot folgten bei einer erfolgreichen Emotet-Infizierung häufig direkt auf dem Fuße. Mehr Infos dazu gibt unser Blog-Beitrag zu den Cyberangriffen 2020.
Es gilt daher, auch weitere Schadprogramme im System aufzuspüren und zu beseitigen. Erfahrene IT-Dienstleister unterstützen Unternehmen bei dieser Aufgabe. Grundsätzlich ist es bei einem Befall sogar am besten, das System komplett neu aufzusetzen. Auch dies übernehmen externe IT-Dienstleister für Sie.
Weiterführende Links:
BKA, BSI, Europol, Verbraucherzentrale NRW, Politie.nl
Geschrieben von
Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung