Emotet wieder im Umlauf Die gefährlichste Schadsoftware der Welt ist zurück

Im Januar verkündeten deutsche Sicherheitsbehörden stolz das Ende von Emotet: Die Infrastruktur hinter der Schadsoftware sei abgeschaltet worden. Doch jetzt wird der Trojaner erneut verbreitet.
Emotet galt als Türöffner für Erpresser-Software (Symbolbild)

Emotet galt als Türöffner für Erpresser-Software (Symbolbild)

Foto: Alexander Limbach / imago images

Von einem »bedeutenden Schlag gegen die international organisierte Internetkriminalität« sprach  das Bundeskriminalamt (BKA) Ende Januar, von einer »wesentlichen Verbesserung der Cybersicherheit in Deutschland«. In Kooperation mit Strafverfolgungsbehörden aus sieben weiteren Ländern hatten die deutschen Sicherheitsbehörden den »König der Schadsoftware« niedergestreckt: Emotet.

Der Titel stammt von Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Aber auch das BKA sprach von »der gefährlichsten Schadsoftware weltweit«. Emotet war ein extrem erfolgreicher Trojaner, ein Türöffner unter anderem für Ransomware, mit der Behörden und Firmen erpresst werden. Allein in Deutschland hat Emotet Schäden von mindestens 14,5 Millionen Euro verursacht. Kein Wunder also, dass die Strafverfolger nicht nur die Übernahme und Abschaltung der Emotet-Server als Erfolg feierten. Auch die Verbreitung eines Emotet-Updates an infizierte Systeme in aller Welt, mit dem sich die Schadsoftware selbst unbrauchbar machte, schrieben sie sich auf die Fahne – obwohl es für die Aktion gar keine Rechtsgrundlage gab .

Doch die Freude war nicht von Dauer. Der »König« ist wieder da. IT-Sicherheitsexperten des Bochumer Unternehmens G Data, das die Behörden bei der Abschaltung mit technischen Analysen unterstützt hatte, stellten am Sonntagabend fest , dass Systeme, die bereits mit der Schadsoftware TrickBot infiziert sind, plötzlich eine neue Datei aus dem Internet laden – und die wurde automatisch als Emotet erkannt. Eine erste manuelle Überprüfung erhärtet den Verdacht bisher.

Emotet ist eine Schadsoftware (Malware) mit verschiedenen Funktionen. 2014 wurde sie zum ersten Mal entdeckt, damals war sie noch ein Banking-Trojaner, der Zugangsdaten zum Onlinebanking abfischte. Aliasnamen: Geodo, Heodo. 

Verbreitet wird Emotet über manipulierte E-Mail-Anhänge und Links auf verseuchte Dokumente. Die E-Mails wirken oft wie Antworten auf tatsächlich existierende Mail-Konversationen, die Emotet bei anderen Opfern abgefangen hat. Aber auch gefälschte Zahlungsaufforderungen oder aktuelle Themen aus den Nachrichten wie die Coronavirus-Pandemie können der Aufhänger für Emotet-verseuchte Mails sein.

Zwischen 2016 und 2017 änderte sich das Geschäftsmodell der Entwickler. Emotet gilt heute als Türöffner für andere Kriminelle. Sie können Zugänge zu Emotet-infizierten Computern mieten und dadurch ihre eigenen Schadprogramme verbreiten, etwa Ransomware.

Bestätigt wurde die Entdeckung kurz darauf unter anderem von einem Mitarbeiter der Firma Proofpoint  sowie von Cryptolaemus , einem Zusammenschluss von Sicherheitsfachleuten, die es sich einst zur Aufgabe gemacht hatten, den Emotet-Kriminellen das Leben so schwer wie möglich zu machen – durch ständige Hilfestellung für Systemadministratoren bei der Abwehr der Schadsoftware.

Emotet ist bekannt für raffinierte Spammails

Für Tilman Frosch, Geschäftsführer von G Data Advanced Analytics, kommt das nicht überraschend. Im Gespräch mit dem SPIEGEL sagte er: »Die Kooperation von TrickBot und Emotet ist nicht neu. Aus den früheren Aktivitäten war offensichtlich, dass Logistik zu den Kernfähigkeiten der Emotet-Gruppe gehört.«

Den an der Zerschlagung Beteiligten müsse auch klar gewesen sein, dass eine Rückkehr von Emotet möglich ist, die Hintermänner aber zumindest Zeit und Geld kosten würde. »Auch eine Störung des Geschäftsmodells ist ein Erfolg«, sagt Frosch. »Der Takedown hat sie zumindest die Einnahmen aus zehn Monaten gekostet«. Die Kosten für den Wiederaufbau der Infrastruktur kommen noch hinzu.

Insbesondere für Behörden, Firmen und ihre Systemadministratoren, aber auch Internetprovider bedeutet die Emotet-Wiederkehr, dass sie ihre Erkennungssysteme anpassen müssen. Frosch rät Netzbetreibern, die von abuse.ch  gelisteten Emotet-Kontroll-Server zu blockieren und Mittelständlern, ihre IT-Systemhäuser zu kontaktieren. Akut gefährdet sind zwar nur Systeme, die bereits mit TrickBot infiziert sind, doch das kann sich schnell ändern. Frosch sagt: »Wenn Emotet das gleiche Muster verfolgt wie früher, werden die Täter bald raffinierte Spammails versenden«.

Die können dann jeden erreichen, davor warnt auch das BSI : »Es muss davon ausgegangen werden, dass es in Kürze erneut zu umfangreichen Emotet-Spam-Wellen kommen wird, wie sie 2019 und 2020 häufig beobachtet werden konnten. Durch von Emotet nachgeladene weitere Schadsoftware könnte es wieder zu zahlreichen Kompromittierungen von Netzwerken von Behörden und Unternehmen kommen.« Die wirksamste Schutzmaßnahme sei »die Einschränkung von unsignierten Makros«.

Hinweis: Die BSI-Angaben im letzten Absatz wurden ergänzt.

Mehr lesen über