Nach einem ähnlichen Schritt in den USA bereitet Europol einen Coup de gras für die Überreste von Emotet vor

Cyber Security News

Am Sonntag wird Europol einen dreimonatigen Prozess zur Zerschlagung des Emotet-Botnetzes beenden, indem es eine zeitlich aktivierte .dll zum Löschen der Malware von den Systemen auslöst. (Europol)

Am Sonntag beendet Europol einen dreimonatigen Prozess der Demontage des Emotet-Botnetzes. Eine zeitlich aktivierte .dll, die an die Rechner der Opfer gesendet wird, löscht die Malware von den Systemen.

Im Vorfeld des Europol-Schrittes loben Sicherheitsprofis diesen als einen notwendigen Schritt, der, wenn alles richtig läuft, ohne das Wissen von Einzelpersonen geschieht. Aber der Schritt könnte interessante Nebeneffekte für die Sicherheit haben, auch für die Forensik.

“CISOs, die sich der Existenz von Emotet in ihren Netzwerken nicht bewusst sind, werden die Entfernung wahrscheinlich nicht bemerken”, sagte Austin Merritt, Cyber Threat Intelligence Analyst bei Digital Shadows.

Natürlich kommt Emotets endgültige Entfernung zwei Wochen nach einer ähnlichen FBI-Operation, die einen Kill-Befehl an hunderte von Microsoft Exchange-Servern schickte und Web-Shells anordnete, sich selbst zu löschen. Aber es gibt Unterschiede in Subtilität und Umfang.

Als Europol im Januar die Zerschlagung von Emotet ankündigte, begann es sofort mit der Auslieferung der Delete-.dll und gab Organisationen eine dreimonatige Frist, in der Netzwerkmanager Emotet untersuchen und selbst finden und löschen konnten. Nach Ablauf dieser Frist werden die verbleibenden Organisationen mit betroffenen Systemen nicht über die ergriffenen Maßnahmen benachrichtigt. Das FBI verschickte den Kill-Befehl ohne Vorwarnung, benachrichtigte aber alle betroffenen Parteien im Nachhinein.

Der Web-Shell-Takedown des FBI wurde von der gesamten Infosec-Community sofort positiv aufgenommen. Chad Pinson, President of Digital Forensics, Incident Response, Investigations and Engagement Management bei Stroz Friedberg, sagte, dass der dreimonatige Puffer von Europol so gut wie garantiert, dass dies auf die gleiche Weise aufgenommen werden würde.

“Wenn Sie zu diesem Zeitpunkt nichts getan haben, werden Sie wahrscheinlich auch nicht wissen, dass es gelöscht wurde”, sagte er. “Ich denke, viele der Leute, die ein Problem damit haben würden, werden nie erkennen, dass sie ein Problem haben.”

Diese Vergesslichkeit hat das Potenzial, zusätzliche Probleme zu verursachen. Wenn Emotet spurlos verschwindet, sind Unternehmen zwar ohne die Malware besser dran, aber sie verlieren auch einen nützlichen Indikator für das, was in ihrem Netzwerk passiert ist.

Zu wissen, dass man Emotet hatte, ist der erste Schritt zum Schutz vor Bedrohungen, die Emotet ähneln, so Merrit.

“Eine Analyse auf Spuren von Emotet in den nächsten 48 Stunden ist ratsam”, sagte er.

Im Moment sind das FBI und Europol die einzigen beiden Strafverfolgungsbehörden, von denen bekannt ist, dass sie Operationen dieser Art leiten. Aber mit dem Erfolg des FBI und dem potenziellen Erfolg von Europol erwarten viele, dass diese Art von Takedowns ein fester Bestandteil der Landschaft wird.

Die Tatsache, dass Europol bereits involviert ist, könnte ein Indikator dafür sein, wie häufig diese Art von Operationen in Zukunft sein werden.

“Dass Europol dies tut, ist interessant”, sagte Todd Carroll, ehemaliger stellvertretender Leiter der FBI-Außenstelle in Chicago und ehemaliger Agent und jetziger Chief Information Security Officer von CyberAngel. “Die Art und Weise, wie die US-Gesetze geschrieben sind, und die Fähigkeiten und Möglichkeiten der US-Geheimdienste machen diese Art von Dingen einfacher” in den USA gegenüber Europa. Aus diesem Grund bitten europäische Länder die Vereinigten Staaten oft darum, invasivere Operationen zu übernehmen.

Abgesehen davon zeigen die beiden Operationen, wie weit die Strafverfolgungsbehörden bereit sind zu gehen, um die Kontrolle über das System der Opfer zu übernehmen. Der Kill-Befehl des FBI operierte innerhalb des eigenen Rahmens der Web-Shell. Europol fügt ein völlig neues Modul zu Emotet hinzu. Wenn die Eindringlichkeit weiter eskaliert, so Pinson, steigt die Wahrscheinlichkeit von Kollateralschäden.

“Wir müssen die ganze Zeit Skripte in Umgebungen laufen lassen, und sie funktionieren nicht immer so, wie man es sich vorstellt”, sagte er. “Jemand wird am hinteren Ende davon enttäuscht sein.”

Wie bei den Exchange-Server-Aktivitäten des FBI mildert auch der Europol-Fix für Emotep nicht alle möglichen Folgen einer Infektion ab. Emotet könnte andere Malware installieren. Diese Malware wird weiterhin vorhanden sein, sagte Felipe Duarter, ein Sicherheitsforscher bei Appgate.

“Wenn Sie zuvor infiziert waren und er versucht hat, eine zusätzliche Nutzlast zu installieren oder ein zusätzliches Modul auszuführen, sind diese Schäden immer noch vorhanden”, sagte er.

Alles in allem erwarten die meisten Forscher einen echten Nutzen von der Europol-Operation, da sie die Kosten für kriminelle Handlungen erhöht und auf eine neue Verteidigungslandschaft hinweist.

Die Angreifer müssen sich überlegen: “Was machen wir als nächstes? Wie ändern wir unsere Taktik?'”, sagt Ian Gray, Senior Director of Intelligence bei Flashpoint. “Um es mit den Worten des Cyber Command zu sagen: Es ist eine Art Vorwärtsverteidigungshaltung. Es verändert wirklich die Dynamik, da die Verteidiger nun mehr die Kontrolle haben.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com