Emotet baut sein Botnetz wieder auf

  • Cybersecurity-Experten sind von der offensichtlichen Rückkehr der Emotet-Malware nicht überrascht.

    Die Malware wurde erstmals 2014 als Banking-Trojaner entdeckt und entwickelte sich zu einem leistungsstarken Werkzeug, das von Cyberkriminellen auf der ganzen Welt eingesetzt wird, um sich illegal Zugang zu Computersystemen zu verschaffen.

    Die Schöpfer der Malware – die APT-Gruppe TA542 – vermieteten Emotet an andere Cyberkriminelle, die damit Malware wie Banking-Trojaner oder Ransomware auf den Computern der Opfer installierten.

    Die Botnet-Infrastruktur von Emotet wurde im Januar im Rahmen einer koordinierten Aktion von Behörden in Kanada, Frankreich, Deutschland, Litauen, den Niederlanden, dem Vereinigten Königreich, den Vereinigten Staaten und der Ukraine zerschlagen.

    Europol, das die globale Aktion zusammen mit Eurojust koordinierte, bezeichnete Emotet als die “gefährlichste Malware der Welt”, und seine Schöpfer “haben es geschafft, E-Mail als Angriffsvektor auf eine neue Ebene zu bringen”.

    Jetzt hat ein Team von Forschern von Cryptolaemus, G DATA und AdvIntel berichtet, dass der Trojaner TrickBot einen neuen Loader für Emotet zu starten scheint.

    In einem Blog-Beitrag erklärte Luca Ebach, dass die interne Verarbeitung eine Dynamic Link Library (DLL) identifiziert habe, die TrickBot als Emotet herunterzuladen versuchte.

    Eine erste manuelle Überprüfung gab den Forschern “hohes Vertrauen, dass die Proben tatsächlich eine Reinkarnation des berüchtigten Emotet zu sein scheinen.” Das Team führt nun eingehende Analysen durch, um ein endgültiges Ergebnis zu erhalten.

    “Emotet ist wieder auf der Bildfläche erschienen, und um ehrlich zu sein, sind wir nicht überrascht”, sagte Stefano De Blasi, Cyber-Bedrohungsanalytiker bei Digital Shadows.

    Er fügte hinzu: “Die neue Variante der berüchtigten Malware verfolgt Berichten zufolge einen ähnlichen Weg, indem sie sowohl bösartige Office- oder ZIP-Dateien als auch andere Command-and-Control (C2)-Nutzlasten liefert.”

    De Blasi sagte voraus, dass viele cyberkriminelle Gruppen in den nächsten Monaten wieder auf Emotet zurückgreifen könnten.

    Erich Kron, Befürworter des Sicherheitsbewusstseins bei KnowBe4, kommentierte: “Es ist keine Überraschung, dass eine so erfolgreiche und weit verbreitete Malware wie Emotet ihren Weg zurück in die Cybercrime-Szene findet, aber es wird einige Zeit dauern, bis sie ihre frühere Größe erreicht hat.”

    Er sagte voraus: “Leider müssen wir damit rechnen, dass diese infizierten Geräte genutzt werden, um die Verbreitung von Ransomware zu steigern, die bereits außer Kontrolle geraten ist.”

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com