IT-Sicherheit

Emotet ist zurück

Neue Variante der gefährlichsten Schadsoftware der Welt entdeckt

von 17.11.2021
Zu sehen ist ein Caution-Schild; es geht um die Nachricht: Emotet ist zurück. Bild: Unsplash/Maskus Spiske

Auf diese Nachricht hätte die (IT-)Welt wohl gut verzichten können: Emotet ist zurück. Die Malware, die als gefährlichste Schadsoftware der Welt galt, scheint wieder aktiv zu sein.

Wir erklären, wieso Emotet überhaupt weg war und welche Neuigkeiten es jetzt gibt.

Rückblick: König der Schadsoftware

Wie ein Lauffeuer hat sich die Nachricht darüber, dass der Emotet-Trojaner gestoppt wurde, am 27. Januar 2021 verbreitet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab damals bekannt, dass den Polizeibehörden und Staatsanwaltschaften mehrerer Länder ein wichtiger Schlag gegen den „König der Schadsoftware“ gelungen war. Im Zuge einer international koordinierten Aktion war die Infrastruktur von Emotet übernommen und zerschlagen worden.

Diese Nachricht ließ damals viele Unternehmen aufatmen. Denn: Nicht umsonst galt die Emotet-Malware schon seit 2018 als die gefährlichste Schadsoftware der Welt. Die Cyberkriminellen hinter Emotet hatten Unternehmen, Behörden und Kliniken auf der ganzen Welt angegriffen, der verursachte Schaden durch Lösegelderpressung und Co. lag bei 2,5 Milliarden US-Dollar. Allein in Deutschland sollen die Schäden bei mindestens 14,5 Millionen Euro gelegen haben.

Wer sich das alles noch einmal vor Augen führt, dürfte über die Schlagzeile, die aktuell die Runde macht, nicht erfreut sein: Emotet ist zurück. Aber was bedeutet das?

Zu sehen ist ein Screenshot eines Tweets: Emotet ist zurück. Bild: Screenshot Twitter

Bei Twitter überschlagen sich die Tweets: Emotet ist zurück. Bild: Screenshot Twitter

Eilmeldung: Emotet ist zurück

Früher sahen Emotet-Attacken kurz gefasst so aus: Emotet öffnete Tür und Tor zu attackierten Netzwerken und verkaufte die Zugänge an die Drahtzieher von Trickbot, die wiederum die Ransomware Ryuk einschleusten, um die Systeme der Opfer zu verschlüsseln und heftige Lösegeldsummen zu fordern. Nun scheint es genau andersherum zu sein, denn Systeme, die mit der Schadsoftware Trickbot infiziert sind, scheinen jetzt neue Emotet-Varianten nachzuladen.

Wie GData berichtet, konnten am 14. November 2021 verdächtige Aktivitäten in den von Trickbot infizierten Systemen entdeckt werden. Die automatisierten Analysesysteme klassifizierten die Malware, die da die Bühne betrat, als Emotet. Durch manuelle Analysen konnte der Verdacht bestätigt werden. Der Code dieser neuen Variante ähnelt den bekannten Emotet-Samples demnach stark, die Bot-Programmierer scheinen aber einige Änderungen vorgenommen zu haben.

Und was bedeutet das alles konkret? Nichts Gutes: Scheinbar wird die bestehende Trickbot-Infrastruktur dazu genutzt, das zerschlagene Emotet-Botnetz wieder neu aufzubauen. Die Emotet-Tracking-Gruppe Cryptolaemus, die die neuen Aktivitäten von Emotet genauso wie die Sicherheitsfirmen GData und Advanced Intel entdeckt hat, bezeichnet dieses Vorgehen als „Operation Reacharound“.

Emotet-Drohnen senden Malware-Spam

Das alles bietet Anlass zu Beunruhigung. Denn: Inzwischen senden die neuen Emotet-Drohnen wohl schon wieder Malware-Spam per E-Mail. Die Bots sollen dazu speziell präparierte Dokumente als .doc(m), xls(m) oder passwortgeschützte ZIPs an potenzielle Opfer schicken. Und das lässt Schlimmes ahnen. Emotet war nämlich schon in der Vergangenheit für besonders gut gemachte Phishing-Mails bekannt.

Dabei erhielten die ausgewählten Opfer personalisierte E-Mails, deren Absender oft Kollegen oder Geschäftspartner zu sein schienen. Teilweise wurden darin sogar frühere E-Mails des Empfängers zitiert. Das Ergebnis dieses sogenannten Dynamit-Phishings war es, dass die Opfer sämtliche Vorsicht fallen ließen und die angehängten Office-Dateien völlig sorglos öffneten – was sich im Nachhinein als schlimmer Fehler erwies und in verschlüsselten Systemen und gewaltigen Lösegeldforderungen gipfelte.

Genau deshalb sind IT-Sicherheitsexperten jetzt in Alarmbereitschaft. Was früher gut funktionierte, kann es auch heute wieder, vor allem wenn die Phishing-Methoden derart ausgefeilt sind. Und während des Dornröschenschlafs von Emotet waren die Drahtzieher von Trickbot höchst aktiv – möglicherweise auch mit dem Ziel, die Rückkehr des Königs der Schadsoftware vorzubereiten.

Zu sehen ist ein Screenshot eines Tweets von CERT Bund mit der Warnung: Emotet ist zurück. Bild: Screenshot Twitter

Auch das BSI und CERT Bund warnen: Emotet ist zurück. Bild: Screenshot Twitter

BSI warnt vor Emotet-Spam-Wellen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt daher schon jetzt: Es ist davon auszugehen, dass es in Kürze zu umfangreichen Emotet-Spam-Wellen kommen wird – so wie sie 2019 und 2020 sehr häufig zu beobachten waren. Durch von Emotet nachgeladene weitere Schadsoftware könnte es erneut zu zahlreichen Kompromittierungen von Netzwerken von Behörden und Unternehmen kommen, bei denen von den Tätern nachfolgend Ransomware zur Verschlüsselung von Daten ausgerollt wird.

Das heißt, dass Unternehmen ihre Wachsamkeit massiv erhöhen müssen. Wichtig ist es vor allem, Mitarbeiter vor den möglichen Gefahren zu sensibilisieren. Zum Beispiel sollten sie sich bei E-Mails mit unerwarteten E-Mail-Anhängen immer erst beim Absender rückversichern und erfragen, ob wirklich er die E-Mail versendet hat. Auch enthaltene Links sollten mit äußerster Vorsicht behandelt und nicht einfach geklickt werden.

Das mag vielleicht ein wenig paranoid wirken, aber Vorsicht ist besser als Nachsicht – und das gilt sowohl im Zusammenhang mit schadhaften Anhängen im Allgemeinen als auch mit Emotet-Phishing-Mails im Besonderen grundsätzlich. Das Zauberwort lautet in diesem Zusammenhang: Security Awareness. Und diese lässt sich mit speziellen Security-Awareness-Trainings schulen. Das hört sich gut an?

Emotet ist zurück: IT-Fachleute schützen

Unser Tipp: Machen Sie sich am besten sofort daran, diese speziellen Awareness-Schulungen für Ihre Mitarbeiter zu organisieren. Die richtigen Ansprechpartner dafür finden sie unter den Experten aus dem IT-SERVICE.NETWORK. Denn: Die IT-Partner aus unserem Netzwerk bieten solche Schulungen entweder selbst an oder können geeignete Trainings vermitteln.

Aber natürlich können unsere IT-Fachleute Ihr Unternehmen auch darüber hinaus unterstützen, indem sie Ihr Unternehmensnetzwerk so gut wie nur möglich vor Bedrohungen durch Emotet und Co. schützen. Dazu kommt meist ein ganzer Mix unterschiedlicher Maßnahmen zum Einsatz – darunter das Antivirus-Management, das Firewall-Management und das Backup-Management. Die Spezialisten aus unserem Netzwerk setzen modernste Sicherheitstechnologien ein und schützen die Netzwerke ihrer Kunden dadurch bestmöglich.

Sie haben Interesse an einer Security-Awareness-Schulung oder an den weiteren IT-Dienstleistungen aus dem Bereich der IT-Sicherheit? Dann nehmen Sie direkt Kontakt auf – vor dem Hintergrund der neuerlichen Bedrohung durch die Emotet-Akteure ist höchste Eile geboten!


Weiterführende Links:
tagesschau, heise, BSI, Twitter, cyber.wtf, golem, Twitter

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Endpoint Security

Warum ist die Endgerätesicherheit so wichtig?

von • 29.11.2021

Der Endpoint Security kommt beim Schutz vor Cyberbedrohungen eine wichtige Rolle zu. Aber warum ist das so? Und was ist Endgerätesicherheit überhaupt? Wir erklären, warum und wie Unternehmen End...

Weiterlesen
IT-Sicherheit

Biometrische Authentifizierung

Wie Biometrie funktioniert & warum sie so wichtig ist

von • 22.11.2021

Sich für jeden Zugang und jede Plattform ein anderes Passwort merken, das möglichst kompliziert und nicht zu erraten ist – dieser „Passwort-Wahnsinn“ hat schon häufig großen Unmut ausgelöst...

Weiterlesen
IT-Sicherheit

Emotet ist zurück

Neue Variante der gefährlichsten Schadsoftware der Welt entdeckt

von • 17.11.2021

Auf diese Nachricht hätte die (IT-)Welt wohl gut verzichten können: Emotet ist zurück. Die Malware, die als gefährlichste Schadsoftware der Welt galt, scheint wieder aktiv zu sein. Wir erkläre...

Weiterlesen