Letzte Chance für Forensik-Teams vor dem Emotet-Sonntagstermin

Cyber Security News

IT-Sicherheitsteams haben noch bis Sonntag Zeit, nach Beweisen für eine Infektion mit Emotet und möglicherweise damit verbundener Malware zu suchen, bevor das berüchtigte Botnet am Sonntag von allen Geräten weltweit entfernt wird, warnen Experten.

Bereits im Januar gab Europol bekannt, dass die Strafverfolgungsbehörden in einer koordinierten internationalen Operation die von Emotet verwendete Infrastruktur beschlagnahmen konnten.

Am Sonntag, den 25. April, werden sie eine Update-Datei (EmotetLoader.dll) ausliefern, die die Malware von allen infizierten Rechnern weltweit löschen soll.

Während Emotet als Banking-Trojaner begann, entwickelte er sich in den letzten Jahren zu einer komplexeren, modularen Bedrohung. Unter anderem wurde er verwendet, um sich zunächst Zugang zu Organisationen zu verschaffen – die dann an Ransomware-Gruppen und andere Banden verkauft werden konnten, um weitere Malware zu installieren.

Diejenigen, die mit Emotet infiziert wurden, es aber noch nicht wissen, haben daher nur wenige Tage Zeit, um wichtige forensische Untersuchungen durchzuführen, so Redscan Threat Intelligence Analystin Mariya Grozdanova.

“Der Ausführungsschlüssel in der Windows-Registrierung infizierter Geräte wird entfernt, um sicherzustellen, dass Emotet-Module nicht mehr automatisch gestartet werden und alle Server, auf denen Emotet-Prozesse laufen, beendet werden. Es ist jedoch wichtig zu beachten, dass die Abschaltung andere Malware, die über Emotet auf einem infizierten Computer installiert wurde, nicht entfernt”, erklärte sie.

“Damit bleiben den Sicherheitsteams nur noch wenige Tage, um Emotet-Artefakte aufzudecken und festzustellen, ob ihre Organisation durch Emotet kompromittiert wurde und ob andere verwandte Malware in ihren Netzwerken existiert. Wenn jetzt keine ordnungsgemäße forensische Analyse durchgeführt wird, verpassen Sicherheitsteams die einmalige Gelegenheit, Malware-Stämme zu identifizieren, die möglicherweise die gleiche Vorgehensweise wie Emotet haben, wodurch sie sich in einer schwächeren Position befinden, um sich gegen zukünftige Angriffe zu verteidigen.”

Sicherheitsexperten warnten auch davor, dass die noch auf freiem Fuß befindlichen Mitglieder der Emotet-Bande sich wahrscheinlich neu gruppieren würden, möglicherweise mit verbesserten Malware-Stämmen.

“Während die Zerschlagung von Emotet ein großer Sieg für alle außer den Cyberkriminellen ist, zeigen die Bemühungen, ihn durch Malware wie BazarCall und IcedID zu ersetzen, dass die Cyberkriminellen immer besser organisiert, ehrgeiziger und professioneller werden”, so Digital Shadows.

“Das wird mit ziemlicher Sicherheit auch in Zukunft so bleiben; das Problem endet nicht mit Emotet, aber lassen Sie sich nicht davon überzeugen, dass Verteidiger und Strafverfolgungsbehörden nicht auf den Fersen jeder Gruppe sein werden, die ehrgeizig genug ist, es zu ersetzen.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com