Sicherheitsexperten begrüßen Emotet-Zerschlagung

Eines der gefährlichsten Malware-Netzwerke ist zumindest vorerst Geschichte. Andreas Müller, Regionaler Director DACH bei Vectra AI, kommentiert: „„Die Strafverfolgungsbehörden sollten dazu beglückwünscht werden, dass sie eine Schlacht gewonnen und die Infrastruktur von Emotet ausgeschaltet haben. Diese Aktionen werden die Betriebskosten für die Emotet-Cyberkriminellen erhöht und zweifellos andere cyberkriminelle Gruppen gestört haben, die die Dienste von Emotet genutzt haben. Eine gewonnene Schlacht ist jedoch nicht dasselbe wie ein Sieg in einem immer noch stattfindenden Krieg.

Zwar ist die Emotet-Infrastruktur nun nicht mehr verfügbar, doch die Hürden für den Aufbau einer Ersatzinfrastruktur und die Modifizierung des Malware-Codes sind niedrig. Die Taktiken, Techniken und Verfahren, die seine Betreiber verwenden, werden jedoch zum möglichen erneuten Betrieb beitragen und können ihre Betreiber immer noch verraten. Hier zeichnen sich verhaltensbasierte Erkennungsansätze aus, da sie im Gegensatz zum engen Fokus und der statischen Natur von Signaturen ohne vorherige Kenntnis der Malware funktionieren.“

Adam Meyers, SVP of Intelligence bei CrowdStrike, wirft einen Blick zurück: „CrowdStrike Intelligence hat Emotet zunächst als Banking-Trojaner im Jahr 2014 und durch seine langjährigen Beziehungen sowohl zu WIZARD SPIDER als auch zu MUMMY SPIDER verfolgt, um TrickBot Banking-Trojaner über Big Game Hunting (Enterprise Ransomware) Schemata zu liefern. Die Ankündigung von Europol unterstreicht, wie wichtig die globale Zusammenarbeit zwischen Ländern und Strafverfolgungsbehörden ist, um entschiedene Maßnahmen zu ergreifen, um weit verbreitete Botnetze zu unterbrechen und Cyberkriminelle zu stoppen. Mit Blick auf die Zukunft ist es ungewiss, wie die weiteren Auswirkungen der Operationen aussehen werden, aber derzeit hat CrowdStrike Intelligence beobachtet, dass Emotet mit seinen Operationen die Kunden von MUMMY SPIDER erheblich beeinträchtigt hat.“

Roman Hüssy, ein Schweizer Informationstechnologie-Experte, der Feodotracker unterhält – eine Website, die die Standorte der wichtigsten Botnet-Controller auflistet – sagte gegenüber KrebsOnSecurity, dass vor dem 25. Januar etwa 98 Emotet-Kontrollserver aktiv waren. Die Website listet nun 20 Emotet-Kontrollserver auf, wobei unklar ist, ob einer dieser verbleibenden Server im Rahmen der Quarantänebemühungen beschlagnahmt wurde.

Randy Pargman, Senior Director Binary Defense sagte gegenüber ZDNet, dass die Aktionen der Behörden Emotet effektiv zurücksetzen. „Es zwingt die Bedrohungsakteure, die dahinter stecken, von vorne anzufangen und zu versuchen, das System von Grund auf neu aufzubauen, und es gibt den IT-Mitarbeitern in Unternehmen auf der ganzen Welt die Chance, ihre infizierten Computer zu lokalisieren und zu bereinigen“.

Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint äußert sich wie folgt: „Emotet begleitet uns schon seit vielen Jahren. TA542, die Hackergruppe hinter dem Botnet, wird von Proofpoint seit 2014 beobachtet, als Berichte über seine besondere Payload – Emotet – auftauchten. Seitdem ist Emotet als eine der weltweit schlimmsten Cyberbedrohungen bekannt geworden. Was Emotet für Unternehmen besonders gefährlich macht, ist die Tatsache, dass diese Schadsoftware die primäre Basis für die zukünftige Verbreitung anderer Banking-Trojaner war. Zum jetzigen Zeitpunkt kann jeder Mainstream-Bankentrojaner zu verheerenden Ransomware-Angriffen führen. Das Kampagnenvolumen ist typischerweise groß, denn wir registrieren in der Regel Hunderttausende von E-Mails pro Tag, wenn Emotet aktiv ist.

Zum jetzigen Zeitpunkt ist es jedoch schwierig zu beurteilen, welche Auswirkungen die nun erfolgten Maßnahmen der Behörden langfristig haben werden. Strafverfolgungsmaßnahmen können – und haben in der Vergangenheit – unterschiedliche Auswirkungen auf die Technologie und die Betreiber dieser groß angelegten Botnetze gehabt. Wenn man bedenkt, dass es sich um eine Aktion gegen die Backend-Infrastruktur des Emotet-Botnets handelt, könnte dies wirklich das Ende bedeuten. Sofern darüber hinaus die Kriminellen hinter dem Botnetz festgenommen oder in anderer Weise gestört würden, könnte dies erhebliche Auswirkungen auf das Potenzial zukünftiger Operationen der Hacker haben. “

Die ukrainische Polizei hat ein Video von den Durchsuchungen auf Youtube veröffentlicht.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

Durchgesickerte Daten: Twitch dementiert Verlust von Passwörtern

Die Angreifer haben offenbar keinen Zugriff auf die Systeme zur Speicherung von Anmeldedaten. Laut Twitch…

15 Stunden ago

Botnet MyKings nimmt mit Kryptomining fast 25 Millionen Dollar ein

Avast findet die Malware seit Anfang 2020 auf 144.000 Computern. MyKings nutzt die Rechenleistung von…

16 Stunden ago

So wehren Formel-1-Teams Cyberangriffe ab

Die Formel 1 ist ein hochkarätiger Hightech-Sport, der die Aufmerksamkeit von Cyber-Kriminellen und Hackern auf…

21 Stunden ago

Ransomware macht 5,2 Milliarden Dollar an Bitcoin-Transaktionen aus

Das US-Finanzministerium meldet, dass 5,2 Milliarden Dollar an Bitcoin-Transaktionen (BTC) im Zusammenhang mit den 10…

22 Stunden ago

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

5 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

6 Tagen ago