CERT-Bund: Emotet ist zurück, C&C-Server wieder aktiv

[English]Die Hintermänner der Emotet-Ransomware haben wohl erneut ihre C&C-Server aktiviert und es dürfte wohl bald neue Kampagnen mit erfolgreichen Infektionen geben.


Anzeige

Warnung des CERT-Bund vor Emotet

In den letzten Wochen war es in Sachen Ransomware-Infektion mit dem Emotet-Trojaner recht ruhig. Die letzten Meldungen, die mir im Hinterkopf hängen geblieben sind, waren die Emotet-Infektion bei heise im Mai 2019 sowie Warnung des BSI (siehe BSI warnt vor Ransomware-Angriffen auf Unternehmen) vom April  diesen Jahres. Möglicherweise haben die Cyber-Kriminellen einfach ‘Sommerurlaub’ gemacht. Damit ist es nun aber vorbei.

CERT-Bund warnt in obigem Tweet vor dem Emotet-Trojaner. Die im Juni 2019 abgeschaltet Infrastruktur mit ihren Command und Control-Servern (C&C-Server) wurde wieder aktiviert. Die Server liefern Module an infizierte Client aus.

Für Admins in Firmen heißt dies, die Zugriffe auf die betreffenden C&C-Server blockieren. Auf dieser Webseite findet sich eine Liste mit den IP-Adressen, die zu blockieren sind. Heise hat in diesem Artikel noch einige Informationen zusammen getragen.

Der Emotet-Trojaner

Der Emotet-Trojaner ist nichts neues, Symantec hat im Sommer 2018 den Beitrag hier zu diesem Schädling veröffentlicht. Die Gruppe hinter dem Trojaner ist seit mindestens 2014 aktiv und hatte sich bisher auf Bankkunden fokussiert. Vor einiger Zeit gab es aber einen Strategiewechsel, indem man Infrastruktur und Firmen in Europa angreift und mit Ransomware infiziert.  

Das Landeskriminalamt (LKA) Niedersachsen warnte bereits mehrfach davor, dass sich die Malware “Emotet” massiv über E-Mailanhänge verbreitet. Emotet liest die Adressbücher und wertet die E-Mail-Kommunikation der Opfer aus. So kann die Malware sich an weitere E-Mail-Adressen potentieller Opfer versenden. Diese bekommen dann eine E-Mail von einem vermeintlich bekannten Absender.

Emotet-Mail-Variante


Anzeige

Die Texte der Mail variieren, sind teilweise in deutscher Sprache gehalten und sollen den Empfänger zum Öffnen des Anhangs bewegen. Der obige Screenshot zeigt eine Version der Mail, die vom LKA als Beispiel veröffentlicht wurde. Der Anhang ist eine Word .doc-Datei. Falls Makro-Sperren gesetzt sind, versucht der Schädling das Opfer zum Öffnen des Anhangs zu bewegen

Kritisch ist vor allem die Komponente von Emotet, die eine Ausbreitung in Firmennetzwerken ermöglicht. Das stellt für Firmen eine besondere Herausforderung dar. Die Ausbreitung über Netzwerke bedeutet auch, dass Opfer infiziert werden können, ohne jemals auf einen bösartigen Link zu klicken oder einen bösartigen Anhang herunterzuladen.

Einmal auf einem Computer gelandet, lädt Emotet ein Spreadermodul herunter und führt es aus. Das Modul enthält eine Passwortliste, mit der es versucht, den Zugriff auf andere Computer im selben Netzwerk zu erhalten, schreibt Symantec. Microsoft hat hier einen Artikel zu diesem Schädling veröffentlicht, wobei der Windows Defender einige Varianten erkennt.

Ähnliche Artikel:
BSI warnt vor Ransomware-Angriffen auf Unternehmen
CERT-Bund warnt vor Emotet-Mails
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet Trojaner-Infektion bei Kraus-Maffei
Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen
Warnung vor Banking-Trojaner Win32/Emotet.C
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu CERT-Bund: Emotet ist zurück, C&C-Server wieder aktiv


  1. Anzeige
  2. Alfred Neumann sagt:

    Der Link zu der Liste der IPs geht nicht.

  3. Roland Moser sagt:

    Als was tarnt sich Emotet, damit er an der Firewall vorbei kommt?

  4. Anzeige

  5. Joe_Gerhard sagt:

    Link geht sowohl über UM als auch Telekom.

    Danke Herr Born!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.