Sicherheitsexperten begrüßen Emotet-Zerschlagung

Eines der gefährlichsten Malware-Netzwerke ist zumindest vorerst Geschichte. Andreas Müller, Regionaler Director DACH bei Vectra AI, kommentiert: „„Die Strafverfolgungsbehörden sollten dazu beglückwünscht werden, dass sie eine Schlacht gewonnen und die Infrastruktur von Emotet ausgeschaltet haben. Diese Aktionen werden die Betriebskosten für die Emotet-Cyberkriminellen erhöht und zweifellos andere cyberkriminelle Gruppen gestört haben, die die Dienste von Emotet genutzt haben. Eine gewonnene Schlacht ist jedoch nicht dasselbe wie ein Sieg in einem immer noch stattfindenden Krieg.

Zwar ist die Emotet-Infrastruktur nun nicht mehr verfügbar, doch die Hürden für den Aufbau einer Ersatzinfrastruktur und die Modifizierung des Malware-Codes sind niedrig. Die Taktiken, Techniken und Verfahren, die seine Betreiber verwenden, werden jedoch zum möglichen erneuten Betrieb beitragen und können ihre Betreiber immer noch verraten. Hier zeichnen sich verhaltensbasierte Erkennungsansätze aus, da sie im Gegensatz zum engen Fokus und der statischen Natur von Signaturen ohne vorherige Kenntnis der Malware funktionieren.“

Adam Meyers, SVP of Intelligence bei CrowdStrike, wirft einen Blick zurück: „CrowdStrike Intelligence hat Emotet zunächst als Banking-Trojaner im Jahr 2014 und durch seine langjährigen Beziehungen sowohl zu WIZARD SPIDER als auch zu MUMMY SPIDER verfolgt, um TrickBot Banking-Trojaner über Big Game Hunting (Enterprise Ransomware) Schemata zu liefern. Die Ankündigung von Europol unterstreicht, wie wichtig die globale Zusammenarbeit zwischen Ländern und Strafverfolgungsbehörden ist, um entschiedene Maßnahmen zu ergreifen, um weit verbreitete Botnetze zu unterbrechen und Cyberkriminelle zu stoppen. Mit Blick auf die Zukunft ist es ungewiss, wie die weiteren Auswirkungen der Operationen aussehen werden, aber derzeit hat CrowdStrike Intelligence beobachtet, dass Emotet mit seinen Operationen die Kunden von MUMMY SPIDER erheblich beeinträchtigt hat.“

Roman Hüssy, ein Schweizer Informationstechnologie-Experte, der Feodotracker unterhält – eine Website, die die Standorte der wichtigsten Botnet-Controller auflistet – sagte gegenüber KrebsOnSecurity, dass vor dem 25. Januar etwa 98 Emotet-Kontrollserver aktiv waren. Die Website listet nun 20 Emotet-Kontrollserver auf, wobei unklar ist, ob einer dieser verbleibenden Server im Rahmen der Quarantänebemühungen beschlagnahmt wurde.

Randy Pargman, Senior Director Binary Defense sagte gegenüber ZDNet, dass die Aktionen der Behörden Emotet effektiv zurücksetzen. „Es zwingt die Bedrohungsakteure, die dahinter stecken, von vorne anzufangen und zu versuchen, das System von Grund auf neu aufzubauen, und es gibt den IT-Mitarbeitern in Unternehmen auf der ganzen Welt die Chance, ihre infizierten Computer zu lokalisieren und zu bereinigen“.

Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint äußert sich wie folgt: „Emotet begleitet uns schon seit vielen Jahren. TA542, die Hackergruppe hinter dem Botnet, wird von Proofpoint seit 2014 beobachtet, als Berichte über seine besondere Payload – Emotet – auftauchten. Seitdem ist Emotet als eine der weltweit schlimmsten Cyberbedrohungen bekannt geworden. Was Emotet für Unternehmen besonders gefährlich macht, ist die Tatsache, dass diese Schadsoftware die primäre Basis für die zukünftige Verbreitung anderer Banking-Trojaner war. Zum jetzigen Zeitpunkt kann jeder Mainstream-Bankentrojaner zu verheerenden Ransomware-Angriffen führen. Das Kampagnenvolumen ist typischerweise groß, denn wir registrieren in der Regel Hunderttausende von E-Mails pro Tag, wenn Emotet aktiv ist.

Zum jetzigen Zeitpunkt ist es jedoch schwierig zu beurteilen, welche Auswirkungen die nun erfolgten Maßnahmen der Behörden langfristig haben werden. Strafverfolgungsmaßnahmen können – und haben in der Vergangenheit – unterschiedliche Auswirkungen auf die Technologie und die Betreiber dieser groß angelegten Botnetze gehabt. Wenn man bedenkt, dass es sich um eine Aktion gegen die Backend-Infrastruktur des Emotet-Botnets handelt, könnte dies wirklich das Ende bedeuten. Sofern darüber hinaus die Kriminellen hinter dem Botnetz festgenommen oder in anderer Weise gestört würden, könnte dies erhebliche Auswirkungen auf das Potenzial zukünftiger Operationen der Hacker haben. “

Die ukrainische Polizei hat ein Video von den Durchsuchungen auf Youtube veröffentlicht.