Emotet-Malware vernichtet sich heute selbst von allen infizierten Computern

Cyber Security News

Emotet, die berüchtigte E-Mail-basierte Windows-Malware, die hinter mehreren Botnet-gesteuerten Spam-Kampagnen und Ransomware-Attacken steckt, wurde nach einer europäischen Strafverfolgungsaktion massenhaft von infizierten Computern gelöscht.

Die Entwicklung kommt drei Monate nach einer koordinierten Unterbrechung von Emotet als Teil der “Operation Marienkäfer”, um die Kontrolle über die Server zu übernehmen, die für den Betrieb und die Wartung des Malware-Netzwerks verwendet werden. Bei der koordinierten Aktion wurden mindestens 700 Server, die mit der Infrastruktur des Botnetzes verbunden waren, von innen kastriert, um eine weitere Ausbeutung zu verhindern.

Strafverfolgungsbehörden aus den Niederlanden, Deutschland, den USA, Großbritannien, Frankreich, Litauen, Kanada und der Ukraine waren an der internationalen Aktion beteiligt.

[Blocked Image: https://thehackernews.com/images/-J2_tCNGDMKA/YHc_zdc4MhI/AAAAAAAA3wo/gfFnHKGV_gcrTkZ3sOMoDg5N-wg_cKOGQCLcBGAsYHQ/s300-e100/thn-300-4.png]

Zuvor hatte die niederländische Polizei, die zwei zentrale Server im Land beschlagnahmt hat, mitgeteilt, dass sie ein Software-Update bereitgestellt hat, um der Bedrohung durch Emotet wirksam zu begegnen. “Alle infizierten Computersysteme werden dort automatisch das Update abrufen, woraufhin die Emotet-Infektion in Quarantäne gestellt wird”, so die Behörde bereits im Januar.

[Blocked Image: https://thehackernews.com/images/-GwwDRi38uE4/YIaJCjm6T9I/AAAAAAAACXk/_4dE4YVJ0QAHnz49Ypa126rQqPQz0ruJACLcBGAsYHQ/s0/malware.jpg]

Dazu wurde eine 32-Bit-Nutzlast namens “EmotetLoader.dll” über dieselben Kanäle, über die auch das ursprüngliche Emotet verbreitet wurde, auf alle infizierten Rechner geschoben. Die Bereinigungsroutine, die so eingestellt war, dass sie sich am 25. April 2021 automatisch selbst auslöste, entfernte die Malware vom Gerät, löschte den Autorun-Registrierungsschlüssel und beendete den Prozess.

Nun bestätigte die Cybersecurity-Firma Malwarebytes am Sonntag, dass der mit Emotet infizierte Rechner, der die Nutzlast der Strafverfolgungsbehörden erhalten hatte, erfolgreich die Deinstallationsroutine gestartet und sich selbst vom Windows-System entfernt hatte.

[Blocked Image: https://thehackernews.com/images/-VPdopHKQm-E/YHc_0fLCVlI/AAAAAAAA3w0/c2kzWXa0ALMLtjaAeSkI0cc7-FjPV3IswCLcBGAsYHQ/s728-e100/thn-728-4.png]

Zum Zeitpunkt des Schreibens zeigt der Feodo Tracker von Abuse.ch, dass keiner der Emotet-Server online ist.

Die Massenaktion markiert das zweite Mal, dass Strafverfolgungsbehörden eingegriffen haben, um Malware von kompromittierten Rechnern zu entfernen.

Anfang dieses Monats unternahm die US-Regierung Schritte, um Web-Shell-Hintertüren zu entfernen, die vom Hafnium-Bedrohungsakteur auf Microsoft Exchange-Servern im Land abgelegt wurden, die mit ProxyLogon-Exploits angegriffen wurden.

Im Anschluss an die gerichtlich genehmigte Operation teilte das Federal Bureau of Investigation mit, dass es dabei ist, alle Organisationen zu benachrichtigen, von denen es die Web-Shells entfernt hat, was impliziert, dass der Geheimdienst ohne deren Wissen auf die Systeme zugegriffen hat.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com