Ende Januar 2021 verkündete das Bundeskriminalamt das Ende der Schadsoftware Emotet. Die deutschen Behörden hätten die Infrastruktur der gefährlichsten Malware der Welt zunächst übernommen und anschließend zerschlagen. Doch nun ist der Trojaner zurück. Und mit ihm: eine Allzweckwaffe für Cyberkriminelle.
Es muss fast schon eine filmreife Szene gewesen sein, als die ukrainische Polizei Ende Januar 2021 eine Wohnungstür mit einem Stemmeisen aufbrach und anschließend einen heruntergekommenen Plattenbau in der Stadt Charkiw stürmte.
Doch anstelle einer hochgesicherten Server-Infrastruktur fanden die Beamten lediglich einige aufgeschraubte Computer, alte Handys und herumliegende Festplatten. Von dieser heruntergekommenen Wohnung aus soll jedoch die Malware Emotet administriert worden sein.
In Zusammenarbeit mit dem Bundeskriminalamt (BKA) sowie sieben weiteren Ländern setzten die Ermittler:innen der Schadstoffsoftware an diesem Tag ein Ende.
Die deutschen Behörden konnten die Infrastruktur für den gefährlichsten Trojaner der Welt infolgedessen zunächst übernehmen und anschließend zerschlagen. Doch nun, rund 10 Monate später, ist Emotet zurück. Und damit auch eine der gefährlichsten Allzweckwaffen für Cyberkriminelle.
Der gefährlichste Trojaner der Welt ist zurück
Nachdem das internationale Ermittlerteam die Schadsoftware zerschlagen konnte, sprach das BKA von einem „bedeutenden Schlag gegen die international organisierte Internetkriminalität“. Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), bezeichnete den Trojaner sogar als „König der Schadsoftware“.
Doch wie pflegt eine alte Heroldsformel bereits zu sagen: Der König ist tot, es lebe der König. Denn Emotet ist zurück. Die IT-Expert:innen des Bochumer Software-Unternehmens G DATA haben die Malware nämlich wiederentdeckt. Ein erster Verdacht hat sich infolge einer umfassenden Analyse zudem erhärtet.
Während der Untersuchung bemerkten die Software-Expert:innen, dass Systeme, die bereits mit der Malware TrickBot infiziert waren, eine weitere Datei aus dem Internet luden. Diese wurde anschließend als Emotet erkannt. Zwar sei die Schadsoftware nicht mit der ursprünglichen Version identisch.
Allerdings weist der neue Emotet-Trojaner mehrere technische Ähnlichkeiten auf. Insbesondere im Quellcode würden sich ähnliche Strukturen offenbaren. Die Entdeckung wurde mittlerweile auch von zahlreichen weiteren IT-Expert:innen bestätigt.
Update on #Emotet. We are noticing now that bots are starting to spam on what we are calling the Epoch 4 botnet. There is only attachment based malspam seen so far with .docm or .xlsm(really XLSM with a lame AF Template "Excell") or password protected ZIPs(operation ZipLock). 1/x
— Cryptolaemus (@Cryptolaemus1) November 16, 2021
Was ist Emotet und wie funktioniert die Malware?
Die Schadsoftware Emotet wurde erstmals um Jahr 2014 entdeckt. Die damalige Version war als Banking-Trojaner ausgelegt, um die Zugangsdaten beim Online-Banking abzugreifen. Cyberkriminelle haben die Malware damals mithilfe von manipulierten E-Mail-Anhängen und infizierten Dokumenten verbreitet.
Doch zwischen 2016 und 2017 haben die Hacker:innen ihr Geschäftsmodell geändert. Der Trojaner gilt seither als Türöffner für weitere kriminelle Machenschaften. Denn mithilfe von Emotet können Cyberkriminelle ihre eigene Malware auf infizierten Computern verbreiten.
Die Zugänge zu den verseuchten Computern erhalten sie dabei von den eigentlichen Emotet-Hacker:innen, die gewissermaßen die Tür für ihre kriminellen Kolleg:innen öffnen.
Einmal installiert, kann der Trojaner auf einem infizierten Computer wahlweise E-Mail-Postfächer auslesen, Adressbücher kopieren, Passwörter entschlüsseln und eben auch weitere Schadsoftware installieren.
Auch interessant:
