Weltweite Jagd auf Hacker-Netzwerk: Wer ist Mummy Spider?

Die Schadsoftware Emotet befällt seit Jahren Unternehmen und Behörden auf der ganzen Welt. Ein Team aus internationalen Spezialisten ist den Hintermännern auf der Spur.

Emotet – für manche der "König der Schadsoftware"

Foto: Karl-Josef Hildenbrand/ dpa

Sie können den Artikel leider nicht mehr aufrufen. Der Link, der Ihnen geschickt wurde, ist entweder älter als 30 Tage oder der Artikel wurde bereits 10 Mal geöffnet.

Wann das Unheil begann, lässt sich rückblickend ziemlich genau sagen: Am Freitag, dem 20. September 2019, wird auf einem Computer im Kammergericht Berlin die bösartige Datei tlblumber.exe ausgeführt, wohl ohne dass jemand sie angeklickt hätte. Damit hat sich im Netzwerk des Gerichts ein Programm festgesetzt, das Arne Schönbohm , Präsident des Bundesamtes für Sicherheit in der Informationstechnik, einige Wochen später als "König der Schadsoftware" bezeichnen wird. Emotet.

Was folgte, war eine IT-Katastrophe. Oder, wie es nüchtern im Untersuchungsbericht  heißt, eine "Infektion mit nicht abzuschätzenden Folgen für das Netzwerk, die Systeme und Daten des Kammergerichts". Monatelang blieb das Gericht offline. Mitarbeiter mussten zum Teil mit Schreibmaschinen arbeiten, rund 500 Computer wurden neu angeschafft .

Es ist nur einer von vielen Fällen in Deutschland, allein in den vergangenen Monaten hat Emotet neben verschiedenen Unternehmen auch Kliniken, Universitäten und Stadtverwaltungen  lahmgelegt. Emotet gilt als einer der gefürchtetsten Trojaner der Welt.

Auch jetzt, mitten in der Coronakrise, taucht er auf, teils in veränderter Form,  teils zielt er auf neue Opfer. Es müsste deshalb von höchstem Interesse sein, die Hintermänner festzunehmen, die Entwickler und Betreiber von Emotet. Doch wer sich bei IT-Sicherheitsexperten aus Unternehmen und Behörden umhört, erfährt von Indizien und Vermutungen, vernimmt mitunter auch Kampfansagen, aber nichts, was auf ein baldiges Ende von Emotet hoffen lässt.

Emotet ist eine Schadsoftware (Malware) mit verschiedenen Funktionen. 2014 wurde sie zum ersten Mal entdeckt, damals war sie noch ein Banking-Trojaner, der Zugangsdaten zum Onlinebanking abfischte. Aliasnamen: Geodo, Heodo. 

Verbreitet wird Emotet über manipulierte E-Mail-Anhänge und Links auf verseuchte Dokumente. Die E-Mails wirken oft wie Antworten auf tatsächlich existierende Mail-Konversationen, die Emotet bei anderen Opfern abgefangen hat. Aber auch gefälschte Zahlungsaufforderungen oder aktuelle Themen aus den Nachrichten wie die Coronavirus-Pandemie können der Aufhänger für Emotet-verseuchte Mails sein.

Zwischen 2016 und 2017 änderte sich das Geschäftsmodell der Entwickler. Emotet gilt heute als Türöffner für andere Kriminelle. Sie können Zugänge zu Emotet-infizierten Computern mieten und dadurch ihre eigenen Schadprogramme verbreiten, etwa Ransomware.

Emotet selbst besteht mittlerweile aus mehreren Modulen mit verschiedenen Aufgaben . Je nachdem, welche Module auf dem Gerät eines Opfers landen, kann Emotet ganze Outlook-Postfächer, Adressbücher und Browser-Zugangsdaten auslesen, Netzwerkpasswörter herausfinden und sich damit innerhalb eines Netzwerks ausbreiten oder eben andere Schadsoftware nachladen. Zuletzt entdeckten Sicherheitsforscher, dass Emotet auch in der Lage ist, alle mit schwachen Passwörtern gesicherten WLANs in der Nähe zu kapern  und sich darüber auszubreiten.

"Es könnte noch ein paar Jahre dauern, bevor sie ausgeschaltet werden", sagt zum Beispiel Jan Poulsen. Der 28-jährige Däne arbeitet für das Unternehmen CSIS Security und ist Teil der Gruppe Cryptolaemus , einem Zusammenschluss Dutzender IT-Experten von verschiedenen Unternehmen und Organisationen, überwiegend aus den USA.

Cryptolaemus montrouzieri ist der Name eines Marienkäfers, der bestimmte Pflanzenläuse frisst. Deren englischer Name "mealybug" wiederum ist einer von mehreren Spitznamen der Emotet-Gruppierung. Seit rund anderthalb Jahren bekämpfen die Cryptolaemus-Mitglieder Emotet mit ganz eigenen Mitteln: An eine baldige Verhaftung der Hintermänner glauben sie nicht, deshalb sabotieren sie die Kriminellen, so gut es geht.

SPIEGEL plus Anmelden

Digital-Abo

Sagen, was ist.
Testen Sie das digitale Angebot und erfahren Sie, warum mehr als 400.000 Menschen den SPIEGEL abonnieren.

Kennenlernmonat – Erster Monat nur € 1,–

3 Monate – für € 10,– pro Monat 50 % sparen

Jetzt abonnieren

Ihre Bezahlmöglichkeiten: Paypal Sepa Visa Mastercard ApplePay GooglePay

Jederzeit kündigen.

Weiterlesen mit SPIEGEL+

Mehr Perspektiven, mehr verstehen.

Freier Zugang zu allen Artikeln, Videos, Audioinhalten und Podcasts

• Alle Artikel auf SPIEGEL.de frei zugänglich

• DER SPIEGEL als E-Paper und in der App

• DER SPIEGEL zum Anhören und der werktägliche Podcast SPIEGEL Daily

• Nur € 19,99 pro Monat, jederzeit kündbar

Sie haben bereits ein Digital-Abonnement?

SPIEGEL+ wird über Ihren iTunes-Account abgewickelt und mit Kaufbestätigung bezahlt. 24 Stunden vor Ablauf verlängert sich das Abo automatisch um einen Monat zum Preis von zurzeit 19,99€. In den Einstellungen Ihres iTunes-Accounts können Sie das Abo jederzeit kündigen. Um SPIEGEL+ außerhalb dieser App zu nutzen, müssen Sie das Abo direkt nach dem Kauf mit einem SPIEGEL-ID-Konto verknüpfen. Mit dem Kauf akzeptieren Sie unsere Allgemeinen Geschäftsbedingungen und Datenschutzerklärung.