Emotet ist zurück: Die für besiegt erklärte Schadsoftware geht wieder um

Gefahrenwarnung

Die Anfang des Jahres besiegt geglaubte Schadsoftware Emotet ist wieder im Umlauf. Wir haben die wichtigsten Fragen und Antworten rund um die Rückkehr von Emotet für Sie zusammengefasst und bringen auf den Punkt, wie Sie sich vor der Schadsoftware schützen können.

Was ist passiert?

Am 15. November wurde die Welt der Cybersicherheit von der Nachricht erschüttert, dass die berüchtigte Malware Emotet rund ein halbes Jahr nach ihrer Zerstörung wieder kursiert. Emotet galt in der Vergangenheit als die am weitesten verbreitete Schadsoftware, die sich hauptsächlich über Spam-Kampagnen und infizierte Anhänge von Phishing-E-Mails verbreitete.

Was genau ist Emotet?

Noch im vergangenen Jahr führte die berüchtigte Malware den „Global Threat Index 2020“ als gefährlichste Schadsoftware an. Die Malware tauchte erstmals im Juni 2014 auf und wurde vor allem für Angriffe auf den Bankensektor eingesetzt.

Das Perfide an Emotet: Die Malware fungiert oftmals als Türöffner für die Installation weiterer Schadprogramme. Die Software ist nicht nur in der Lage, Unbefugten Zugriff auf Daten zu verschaffen, sondern wird hauptsächlich als Downloader für weitere Malware-Varianten wie TrickBot und IcedID verwendet. Ursprünglich als Banking-Trojaner (Ausspionieren von Zugangsdaten für Online-Banking) eingesetzt, diente Emotet zuletzt eher als Verbreiter anderer Schadprogramme. Das Programm bediente sich diverser Methoden und Ausweichtechniken, um betriebsbereit und unentdeckt zu bleiben.

Warum galt Emotet als besiegt?

Noch Anfang des Jahres verkündeten unter anderem deutsche Strafverfolgungsbehörden die Vernichtung des Emotet-Netzwerks: Die Infrastruktur der Schadsoftware wurde zerstört, Server wurden beschlagnahmt. Es wurden nur noch harmlose Updates durchgeführt, bis am 25. April 2021 ein Emotet-Modul bereitgestellt werden konnte, welches die Malware vollständig von infizierten Systemen entfernte.

Was ist der Stand heute? 

Die Drahtzieher von Emotet haben nun mit der Wiederaufnahme ihrer Operationen begonnen. Bereits mit TrickBot infizierte Systeme fingen an, neue Dateien aus dem Internet zu installieren. Sowohl automatisierte als auch manuelle Analysen ergaben, dass es sich bei den Dateien um neue Emotet-Varianten handelte. Die neuen Version weisen viele Ähnlichkeiten mit vergangenen Emotet-Programmen auf, die Verschlüsselung sowie die Zertifikate zur Absicherung der Kommunikation sind jedoch leicht verändert.

Welche Risiken bestehen durch Emotet für mein Unternehmen?

Emotet ist bekannt für das sogenannte Dynamit-Phishing. Täuschend echte Phishing-E-Mails mit personalisierten Inhalten, die die Zielpersonen zum Öffnen von Anhängen verleiten sollen, sind Merkmale von Emotet-Kampagnen. Die Phishing-E-Mails sind dabei so gut getarnt, dass sie z.T. Kolleginnen oder Geschäftspartner als Absender nachahmen. Besonders heikel dabei ist, dass vergangene Nachrichten der anvisierten Zielpersonen in den Phishing-E-Mails zitiert werden. Die Emotet-E-Mails können von den Empfängern somit als Antwort auf zuvor versandte E-Mails wahrgenommen werden.

Das BSI warnt bereits vor breit ausgelegten Phishing-Kampagnen, wie sie bereits im Vorjahr beobachtet wurden. Unternehmen und Behörden seien vor allem durch die zusätzliche Installation von weiterer Schadsoftware durch Emotet stark gefährdet.

Achtung! Der Versand der Emotet-Spam-E-Mails hat bereits begonnen. Derzeit wird die Schadsoftware in Form von *.docm und *.xlsm- sowie passwortgeschützten ZIP-Anhängen an potenzielle Opfer verbreitet.

Was kann ich tun?

  1. Seien Sie besonders skeptisch gegenüber E-Mails mit ZIP-Anhängen. Emotet wird in der Regel über Phishing-E-Mails mit Anhang gestreut. Eingebettet in eine ZIP-Datei kann sich Emotet unter dem Radar verbreiten, weil es unter Umständen von Antivirenprogrammen unentdeckt bleibt.
  2. Wenn Sie eine Antworten auf von Ihnen versendete E-Mails erhalten (in der Regel mit einem Betreff, der mit „Re:…“ beginnt), vergewissern Sie sich, dass sich die Antwort tatsächlich auf Ihre Nachricht bezieht. Dazu können Sie entweder den Absender oder den Inhalt der Nachricht gründlich überprüfen. Wenn der Text ungewöhnlich formuliert oder aus dem Kontext gerissen scheint, sollten Sie besondere Vorsicht walten lassen.
  3. Wenn Sie Zweifel an der Authentizität des Absender haben, kontaktieren Sie die Person auf anderem Wege, z. B. durch einen Anruf oder eine SMS.
  4. Netzwerkadministratoren wird zusätzlich empfohlen, alle zu Emotet gehörigen IP-Adressen zu blockieren oder sorgfältig zu überwachen, um zu verhindern, dass sie für das neu wiederhergestellte Emotet-Botnetz „rekrutiert“ werden.

Die Liste der IP-Adressen ist hier verfügbar: https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt. Bitte beachten Sie, dass beim Umgang mit diesen IP-Adressen höchste Vorsicht geboten ist. Wenn Sie sich nicht sicher sind, wie Sie mit diesen Adressen verfahren sollen, kontaktieren Sie unser Team. Wir unterstützen Sie gerne.