Cybersicherheit | IT-Schutz | Angriffsvektoren
In den letzten Jahren stand das bösartige Botnet Emotet regelmäßig an der Spitze der Rankings der gefährlichsten Cyberbedrohungen. Nun ist die Malware, die sich seit 2014 als Trojaner verbreitete, im Rahmen einer konzertierten Aktion von Europol und BKA unschädlich gemacht worden. Was bedeutet das für die aktuelle Bedrohungslage? Ist die Gefahr von Cyberattacken nun geringer? Ja und nein, denn da draußen lauern noch unzählige andere Angreifer und Cyberkriminelle.
Noch im letzten Jahr führte die berüchtigte Malware den „Global Threat Index 2020“ als derzeit gefährlichste Schadsoftware an. Fast 20 Prozent aller deutschen Unternehmen waren im Dezember davon betroffen. Einer mit Emotet verseuchten Spam-Kampagne fielen im letzten Sommer noch einmal 100.000 User zum Opfer. So hatte Emotet am Kammergericht Berlin zu einem Totalschaden der IT geführt. Das Gericht musste vom Berliner Landesnetz getrennt werden. Die Schadsoftware hatte auch im Klinikum Fürth und bei der Stadtverwaltung Frankfurt am Main erhebliche Schäden verursacht – und auch bei Zehntausenden Privatpersonen. Nach Einschätzung der Ermittler entstand allein in Deutschland ein Schaden in Höhe von mindestens 14,5 Millionen Euro.
Türöffner für weitere Schadsoftware
Das Perfide an Emotet: Die Malware fungiert als Türöffner für weitere Schädlinge. Es hat also nicht nur Daten gestohlen, sondern auch die Hintertüren für weitere Malware geöffnet. Früher als Banking-Trojaner eingesetzt, diente Emotet zuletzt eher als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzte verschiedene Methoden, um betriebsbereit zu bleiben und kannte Ausweichtechniken, um einer Entdeckung zu entgehen.
„Die ‚Emotet‘-Infrastruktur funktionierte im Kern wie ein erster Türöffner in Computer-Systeme auf weltweiter Ebene“, so die Behörde. „Das System konnte auf einzigartige Weise ganze Netzwerke infizieren, nur durch den Zugang zu ein paar wenigen Apparaten.“ Über ein Word-Dokument, häufig getarnt als harmlos wirkender Anhang einer E-Mail oder auch als Link, wurde in das System eingebrochen, schilderte Europol.
Sobald der illegale Zugang gelungen war, wurde dieser an Cyber-Kriminelle verkauft. Diese konnten wiederum eigene Trojaner einschleusen, um etwa an Bankdaten zu gelangen, erbeutete Daten weiterzuverkaufen oder aber Lösegeld für blockierte Daten zu erpressen.
BKA: Emotet-Infrastruktur unter Kontrolle und zerstört
Am letzten Mittwoch war es dann vorbei mit den Aktivitäten des Trojaners: Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt teilten mit, dass es deutschen Ermittlern und einer internationalen Ermittlergruppe im Rahmen einer konzertierten Aktion gelungen ist, die kriminelle Software unschädlich zu machen. Die Polizeibehörde Europol teilte mit, die weltweite Infrastruktur auf mehreren hundert Rechnern sei zunächst unter Kontrolle gebracht und dann zerstört worden. Der Einsatz habe mehr als zwei Jahre gedauert. Er sei unter deutscher und niederländischer Leitung mit Ermittlern aus insgesamt acht Ländern durchgeführt worden. Die Zerschlagung sei zusammen mit den Strafverfolgungsbehörden der Niederlande, der Ukraine, Litauens, Frankreichs, Großbritanniens, Kanadas und den USA erfolgt, so das BKA.
Die Ermittler hatten zunächst in Deutschland verschiedene Server identifiziert, mit denen die Schadsoftware verteilt wurde, später dann weitere im europäischen Ausland. Allein in Deutschland haben die Ermittler bisher 17 Server beschlagnahmt. In der Ukraine übernahmen die Strafverfolger bei einem der mutmaßlichen Betreiber zunächst die Kontrolle über die Emotet-Infrastruktur. Dadurch, heißt es in der Pressemitteilung, „war es möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen“. Das heißt: Dort, wo Emotet bereits in ein System eingedrungen war, wurde die Malware so verschoben, dass sie keinen Schaden mehr anrichten kann. Zudem konnte sie nur noch mit Servern kommunizieren, die zur Beweissicherung betrieben wurden.
„Malware-as-a-Service“
Emotet war eines der „gefährlichsten Instrumente für Cyber-Attacken“ der letzten Jahre, sagte eine Sprecherin von Europol. Das kriminelle Geschäftsmodell von Emotet könne als „Malware-as-a-Service“ bezeichnet werden. Es habe weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe geboten.
„Die Strafverfolgungsbehörden haben es geschafft, die Infrastruktur zu übernehmen“, beschreibt Monika Bubela, Cyber Security Specialist bei Perseus, den Zugriff der Ermittlungsbehörden, „das bedeutet, dass die infizierten Rechner nun an die Strafverfolgungsbehörden und nicht an die Kriminellen weitergeleitet werden. Vereinfacht kann man sagen, dass die Kriminellen den Zugriff auf die infizierte Infrastruktur verloren haben und die weitere Ausbreitung der Malware verhindert wurde. Der niederländischen Polizei ist es auch gelungen, eine Datenbank mit gestohlenen E-Mails wiederherzustellen, so dass Benutzer überprüfen können, ob ihre E-Mails betroffen waren.“
Ist die Gefahr von Cyberangriffen dadurch nun deutlich geringer geworden?
„Die Bedeutung dieses Schlags gegen Cyberkriminelle ist sehr groß, da Emotet eine der aktivsten und am schwersten zu beseitigenden Malware war und sich leicht verbreitete, so Bubela, „Emotet ist im Moment also „befriedet“ und auf Eis gelegt, stellt also keine Bedrohung mehr dar.“
Zumindest im Moment: Es ist durchaus möglich, dass Emotet in den infizierten System noch rechtzeitig weitere Schadsoftware nachgeladen hat. Und die könnten weiterhin aktiv bleiben. Auch der Fall „Trickbot“ hat gezeigt, dass die Abschaltung der Infrastruktur nicht zwingend das Ende der kriminellen Aktivitäten bedeutet: Im Oktober lahmgelegt, war der Banking-Trojaner schon vier Wochen später wieder aktiv.
Ist Emotet damit endgültig erledigt?
Auch BSI-Präsident Schönbohm betrachtet Emotet noch nicht als erledigtes Problem. „Wenn Sie Informationen Ihres Providers über eine Emotet-Infektion Ihrer Systeme erhalten, nehmen Sie diese bitte ernst“, teilte er mit und verwies auf die Hilfestellung seiner Behörde.
„Bereinigen Sie Ihre Systeme! Wenn Emotet Ihre Systeme infiziert hat, müssen wir davon ausgehen, dass dies auch anderer Schadsoftware gelungen ist.“
Die Frage ist, ob die Emotet-Betreiber – vorausgesetzt, sie werden nicht inhaftiert – eine neue Infrastruktur aufbauen. Dieser Neuaufbau würde zumindest viel Zeit kosten – und Geld. So hat diese konzentierte Schlag gegen die Cyberkriminalität zumindest für eine Verschnaufpause gesorgt.
Cyber security | IT protection | Attack vectors
In recent years, the malicious botnet Emotet has regularly topped the rankings of the most dangerous cyber threats. Now, the malware, which has been spreading as a Trojan since 2014, has been rendered harmless in a concerted action by Europol and the BKA. What does this mean for the current threat situation? Is the risk of cyberattacks now lower? Yes and no, because there are still countless other attackers and cybercriminals out there.
Just last year, the notorious malware topped the ‘Global Threat Index 2020’ as the most dangerous malware at the time. Almost 20 percent of all German companies were affected by it in December. Last summer, another 100,000 users fell victim to a spam campaign infected with Emotet. Emotet caused total IT failure at the Berlin Court of Appeal. The court had to be disconnected from the Berlin state network. The malware also caused considerable damage at the Fürth Hospital and the Frankfurt am Main city administration – as well as to tens of thousands of private individuals. According to investigators, the damage in Germany alone amounted to at least 14.5 million euros.
Door opener for further malware
The perfidious thing about Emotet is that the malware acts as a door opener for other malware. So it not only stole data, but also opened the back doors for further malware. Previously used as a banking Trojan, Emotet has recently been used more to spread other malware or entire campaigns. It used various methods to remain operational and knew how to evade detection.
‘The Emotet infrastructure essentially functioned as a first door opener into computer systems on a global scale,’ according to the authorities. ‘The system was uniquely capable of infecting entire networks with access to just a few devices.’ Europol explained that the system was breached via a Word document, often disguised as a harmless email attachment or link.
Once illegal access had been gained, it was sold to cybercriminals. They were then able to inject their own Trojans to obtain bank details, sell stolen data or extort ransom money for blocked data.
BKA: Emotet infrastructure under control and destroyed
Last Wednesday, the Trojan’s activities came to an end: the Federal Criminal Police Office (BKA) and the Frankfurt Public Prosecutor’s Office announced that German investigators and an international investigation team had succeeded in neutralising the criminal software in a concerted operation. The Europol police authority announced that the global infrastructure on several hundred computers had first been brought under control and then destroyed. The operation had taken more than two years. It was carried out under German and Dutch leadership with investigators from a total of eight countries. According to the BKA, the operation was carried out in cooperation with law enforcement agencies in the Netherlands, Ukraine, Lithuania, France, Great Britain, Canada and the United States.
The investigators first identified various servers in Germany that were used to distribute the malware, and later found others in other European countries. In Germany alone, investigators have seized 17 servers so far. In Ukraine, law enforcement agencies initially took control of the Emotet infrastructure at the premises of one of the alleged operators. According to the press release, this ‘made it possible to render the malware unusable for the perpetrators on affected German victim systems.’ This means that where Emotet had already infiltrated a system, the malware was moved so that it could no longer cause any damage. In addition, it could only communicate with servers that were operated for the purpose of securing evidence.
‘Malware-as-a-service’
Emotet was one of the ‘most dangerous tools for cyber attacks’ in recent years, said a Europol spokeswoman. Emotet’s criminal business model could be described as ‘malware-as-a-service.’ It provided other criminals with the basis for targeted cyber attacks.
‘Law enforcement agencies have managed to take over the infrastructure,’ said Monika Bubela, cyber security specialist at Perseus, describing how the investigating authorities gained access. „This means that the infected computers are now being forwarded to law enforcement agencies rather than to the criminals. Put simply, the criminals have lost access to the infected infrastructure and the malware can no longer spread. The Dutch police have also managed to recover a database of stolen emails, allowing users to check whether their emails were affected.“
Does this mean that the risk of cyber attacks is now significantly lower?
‘This blow to cybercriminals is very significant, as Emotet was one of the most active and difficult malware to remove and spread easily, according to Bubela. ’Emotet is currently “pacified” and on hold, so it no longer poses a threat.“
At least for now: it is entirely possible that Emotet downloaded additional malware onto infected systems in time. And that malware could still be active. The ‘Trickbot’ case also showed that shutting down the infrastructure does not necessarily mean the end of criminal activities: paralysed in October, the banking Trojan was active again just four weeks later.
Does this mean Emotet is finally finished?
BSI President Schönbohm also does not consider Emotet to be a solved problem yet. ‘If you receive information from your provider about an Emotet infection on your systems, please take it seriously,’ he said, referring to the assistance available from his agency.
‘Clean up your systems! If Emotet has infected your systems, we must assume that other malware has also succeeded.’
The question is whether the Emotet operators – assuming they are not imprisoned – will build a new infrastructure. This would take a lot of time and money, to say the least. So this concentrated blow against cybercrime has at least provided a breather.