Emotet – Ende – Endlich

von VPNHaus | 11.02.2021

Wir haben uns alle an das konstante Grundrauschen von Malware gewöhnt. Meistens wird nur noch über Schadsoftware berichtet, wenn sie hohe Schäden verursacht oder besonders perfide vorgeht. In Zeiten von Corona war das bei Attacken der Fall, die entweder Krankenhäuser zum Ziel hatten oder besonders abstruse Lösegeldforderungen stellten. Dass dabei das enorme Schadenspotential der latent im Hintergrund aktiven „Oldies“ der Schadsoftwareszene übersehen wird, zeigen erst Aktionen wie der Schlag gegen den Malware-Dropper Emotet Ende Januar. Emotet gibt es seit vielen Jahren, 2014 tauchten die ersten Versionen in freier Wildbahn auf. Und erst jetzt, sieben Jahre später, gelang es der Polizei länderübergreifend in einer koordinierten Zusammenarbeit, den größten Teil der Befehlsstruktur von Emotet abzuschalten. Bis heute wird der durch Emotet und seine Folgen verursachte Schaden auf sagenhafte 2,5 Milliarden US-Dollar geschätzt.

Simpel und perfide

An Emotet war nichts besonders raffiniert oder dramatisch gefährlich, außer seiner Versatilität. Die Software startete ihre Karriere als Banking-Trojaner, die versuchte, Online-Banking-Daten abzugreifen. Schnell entwickelte sich Emotet aber vom ausführenden Akteur zum reinen Tool: Die Emotet-Betreiber vermieteten infizierte, Emotet-befallene Rechner an andere Cyberkriminelle, die darüber ihre eigene Schadsoftware auf die Opferrechner brachten. Die Gesamtheit der Emotet-Zombies wurde auch als Botnet für Angriffe und andere Aufgaben vermietet, die von einer großen Menge an Systemen profitierten. So nutzen Kriminelle mehrfach die Emotet-Botnetze, um Ransomware wie TrickBot und Ryuk in großer Zahl zu verteilen. Eines der bekanntesten Opfer war der deutsche Heise-Verlag, ein Herausgeber von IT-Magazinen. Aber auch das Kammergericht Berlin sowie die Regierung von Litauen fielen einer Ryuk-Attacke mit Hilfe von Emotet zum Opfer. Emotet wurde beständig weiterentwickelt, wahrscheinlich wurde die Schadsoftware dadurch so lästig wie persistent. Zuletzt gab es sogar ein WLAN-Modul, mit dem neue Computer im gleichen WLAN infiziert werden konnten.

Der Spuk hat ein Ende

Nun ist es aber mit Emotet vorbei – zumindest für die nächste Zeit. In der Polizeiaktion von Ende Januar, Codename „Marienkäfer“, wurden etwa 700 Server beschlagnahmt und eine ganze Reihe von Verdächtigen festgenommen. Vor allem in der Ukraine durchsuchten die lokalen Behörden eine größere Zahl von Objekten. Mit durchschlagendem Erfolg: Zurzeit sind beim Abuse.ch Feodo Tracker nur noch etwa 20 Emotet-Server online, andere Malware-Checker zeigen noch weniger aktive Systeme. Server abbauen und Kriminelle festnehmen ist eine Sache, aber was passiert mit den – meist unwissenden – Opfern, deren Rechner nach wie vor Emotet-verseucht sind? Zunächst passiert nichts, denn die Command&Control Server von Emotet sind jetzt unter der Kontrolle der Strafverfolgungsbehörden. Der Software werden selbstverständlich keine neuen Befehle erteilt und die betroffenen Anwender merken zunächst nichts von den neuen Herren der Computer. Ende April, nachdem die forensischen Untersuchungen der Behörden abgeschlossen sind, wird ein Update über die Emotet-C&C Struktur verteilt, die der Schadsoftware auf den Rechnern den Befehl gibt, sich selbst zu löschen und alle Spuren des Befalls zu entfernen. Der Service im Betriebssystem wird beendet und der Autorun-Eintrag in der Registry entfernt. Nach einem Tweet des Sicherheitsanalysten milkream, soll das Datum für das endgültige Emotet-Ende der 25. April 2021 um 12:00 Uhr lokaler Zeit sein.

Selbstschutz durch aktuelle Prüfsoftware

Wer sich bis dahin selbst davon überzeugen will, ob er zu den unwissenden Opfern gehört, kann sich beim Emotet E-Mail Address Checker selbst überprüfen. Die holländische Seite enthält im unteren Teil einen Link, in dem man seine E-Mail-Adresse eintragen kann. Findet sich kurz darauf eine Mail in der Inbox, ist der eigene Rechner infiziert. Dann ist es an der Zeit, mit einem aktuellen Malware-Entferner ans Werk zu gehen oder jemand zu fragen, der sich damit auskennt. Aber was tun, wenn der Emotet-Nachfolger seine Runde macht? Wie immer sind ein aktives Anti-Malware-Programm und der gesunde Menschenverstand die besten Verteidigungsmechanismen gegen Emotet und Konsorten. Nicht sofort klicken, nicht sofort öffnen und nicht sofort alles glauben, was in der Mail steht – schon sind 99% der üblichen „Spray-and-Pray“- Kampagnen keine Gefahr mehr. Wer im Visier einer der wenigen gezielten Attacken steht, weiß selbst, dass er bei seiner digitalen Kommunikation aufpassen muss. Aber zumindest vor Emotet muss in der nächsten Zeit niemand mehr Angst haben. Damit fängt das Jahr 2021 schon mal gut an.