Wir haben die Schlacht gewonnen, aber nicht den Krieg

Blog Cybersicherheit Phishing
Pic Source: via Unsplash

In den letzten Jahren stand das bösartige Botnet Emotet regelmäßig an der Spitze der Rankings der gefährlichsten Cyberbedrohungen. Nun ist die Malware, die sich seit 2014 als Trojaner verbreitete, im Rahmen einer konzertierten Aktion von Europol und BKA unschädlich gemacht worden. Was bedeutet das für die aktuelle Bedrohungslage? Ist die Gefahr von Cyberattacken nun geringer? Ja und nein, denn da draußen lauern noch unzählige andere Angreifer und Cyberkriminelle.

Noch im letzten Jahr führte die berüchtigte Malware den „Global Threat Index 2020“ als derzeit gefährlichste Schadsoftware an. Fast 20 Prozent aller deutschen Unternehmen waren im Dezember davon betroffen. Einer mit Emotet verseuchten Spam-Kampagne fielen im letzten Sommer noch einmal 100.000 User zum Opfer. So hatte Emotet am Kammergericht Berlin zu einem Totalschaden der IT geführt. Das Gericht musste vom Berliner Landesnetz getrennt werden. Die Schadsoftware hatte auch im Klinikum Fürth und bei der Stadtverwaltung Frankfurt am Main erhebliche Schäden verursacht – und auch bei Zehntausenden Privatpersonen. Nach Einschätzung der Ermittler entstand allein in Deutschland ein Schaden in Höhe von mindestens 14,5 Millionen Euro.

Türöffner für weitere Schadsoftware

Das Perfide an Emotet: Die Malware fungiert als Türöffner für weitere Schädlinge. Es hat also nicht nur Daten gestohlen, sondern auch die Hintertüren für weitere Malware geöffnet. Früher als Banking-Trojaner eingesetzt, diente Emotet zuletzt eher als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzte verschiedene Methoden, um betriebsbereit zu bleiben und kannte Ausweichtechniken, um einer Entdeckung zu entgehen.

„Die ‚Emotet‘-Infrastruktur funktionierte im Kern wie ein erster Türöffner in Computer-Systeme auf weltweiter Ebene“, so die Behörde. „Das System konnte auf einzigartige Weise ganze Netzwerke infizieren, nur durch den Zugang zu ein paar wenigen Apparaten.“ Über ein Word-Dokument, häufig getarnt als harmlos wirkender Anhang einer E-Mail oder auch als Link, wurde in das System eingebrochen, schilderte Europol.

Sobald der illegale Zugang gelungen war, wurde dieser an Cyber-Kriminelle verkauft. Diese konnten wiederum eigene Trojaner einschleusen, um etwa an Bankdaten zu gelangen, erbeutete Daten weiterzuverkaufen oder aber Lösegeld für blockierte Daten zu erpressen.

BKA: Emotet-Infrastruktur unter Kontrolle und zerstört

Am letzten Mittwoch war es dann vorbei mit den Aktivitäten des Trojaners: Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt teilten mit, dass es deutschen Ermittlern und einer internationalen Ermittlergruppe im Rahmen einer konzertierten Aktion gelungen ist, die kriminelle Software unschädlich zu machen. Die Polizeibehörde Europol teilte mit, die weltweite Infrastruktur auf mehreren hundert Rechnern sei zunächst unter Kontrolle gebracht und dann zerstört worden. Der Einsatz habe mehr als zwei Jahre gedauert. Er sei unter deutscher und niederländischer Leitung mit Ermittlern aus insgesamt acht Ländern durchgeführt worden. Die Zerschlagung sei zusammen mit den Strafverfolgungsbehörden der Niederlande, der Ukraine, Litauens, Frankreichs, Großbritanniens, Kanadas und den USA erfolgt, so das BKA.

Die Ermittler hatten zunächst in Deutschland verschiedene Server identifiziert, mit denen die Schadsoftware verteilt wurde, später dann weitere im europäischen Ausland. Allein in Deutschland haben die Ermittler bisher 17 Server beschlagnahmt. In der Ukraine übernahmen die Strafverfolger bei einem der mutmaßlichen Betreiber zunächst die Kontrolle über die Emotet-Infrastruktur. Dadurch, heißt es in der Pressemitteilung, „war es möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen“. Das heißt: Dort, wo Emotet bereits in ein System eingedrungen war, wurde die Malware so verschoben, dass sie keinen Schaden mehr anrichten kann. Zudem konnte sie nur noch mit Servern kommunizieren, die zur Beweissicherung betrieben wurden.

„Malware-as-a-Service“

Emotet war eines der „gefährlichsten Instrumente für Cyber-Attacken“ der letzten Jahre, sagte eine Sprecherin von Europol. Das kriminelle Geschäftsmodell von Emotet könne als „Malware-as-a-Service“ bezeichnet werden. Es habe weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe geboten.

„Die Strafverfolgungsbehörden haben es geschafft, die Infrastruktur zu übernehmen“, beschreibt Monika Bubela, Cyber Security Specialist bei Perseus, den Zugriff der Ermittlungsbehörden, „das bedeutet, dass die infizierten Rechner nun an die Strafverfolgungsbehörden und nicht an die Kriminellen weitergeleitet werden. Vereinfacht kann man sagen, dass die Kriminellen den Zugriff auf die infizierte Infrastruktur verloren haben und die weitere Ausbreitung der Malware verhindert wurde. Der niederländischen Polizei ist es auch gelungen, eine Datenbank mit gestohlenen E-Mails wiederherzustellen, so dass Benutzer überprüfen können, ob ihre E-Mails betroffen waren.“

Ist die Gefahr von Cyberangriffen dadurch nun deutlich geringer geworden?

„Die Bedeutung dieses Schlags gegen Cyberkriminelle ist sehr groß, da Emotet eine der aktivsten und am schwersten zu beseitigenden Malware war und sich leicht verbreitete, so Bubela, „Emotet ist im Moment also „befriedet“ und auf Eis gelegt, stellt also keine Bedrohung mehr dar.“

Zumindest im Moment: Es ist durchaus möglich, dass Emotet in den infizierten System noch rechtzeitig weitere Schadsoftware nachgeladen hat. Und die könnten weiterhin aktiv bleiben. Auch der Fall „Trickbot“ hat gezeigt, dass die Abschaltung der Infrastruktur nicht zwingend das Ende der kriminellen Aktivitäten bedeutet: Im Oktober lahmgelegt, war der Banking-Trojaner schon vier Wochen später wieder aktiv.

Ist Emotet damit endgültig erledigt?

Auch BSI-Präsident Schönbohm betrachtet Emotet noch nicht als erledigtes Problem. „Wenn Sie Informationen Ihres Providers über eine Emotet-Infektion Ihrer Systeme erhalten, nehmen Sie diese bitte ernst“, teilte er mit und verwies auf die Hilfestellung seiner Behörde.

„Bereinigen Sie Ihre Systeme! Wenn Emotet Ihre Systeme infiziert hat, müssen wir davon ausgehen, dass dies auch anderer Schadsoftware gelungen ist.“

Die Frage ist, ob die Emotet-Betreiber – vorausgesetzt, sie werden nicht inhaftiert – eine neue Infrastruktur aufbauen. Dieser Neuaufbau würde zumindest viel Zeit kosten – und Geld. So hat diese konzentierte Schlag gegen die Cyberkriminalität zumindest für eine Verschnaufpause gesorgt.

Da nicht sicher ist, ob und wann Emotet wieder auftauchen wird, gibt die „Allianz für Cybersicherheit“ nützliche Tipps zum Thema: