BKA: Infrastruktur der Emotet-Schadsoftware übernommen und zerschlagen

[English]BKA und die Generalstaatsanwaltschaft Frankfurt am Main haben einen "Takedown" der Emotet-Infrastruktur international eingeleitet, denn die betreffenden Server übernommen und dann die Infrastruktur zerschlagen. Ein Blog-Leser hat mich gerade per Kommentar auf den Sachverhalt aufmerksam gemacht.


Anzeige

Emotet ist eine Familie von Computer-Schadprogrammen in Form von Makroviren, welche die Empfänger über den Anhang sehr echt aussehender E-Mails mit Trojanern infizieren. Wenn ein Empfänger die Anlage bzw. den Anhang der E-Mail öffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausführung gebracht.

Die Emotet-Gruppe war für zahlreiche erfolgreiche Ransomware-Angriffe auf deutsche Firmen, Behörden, das Kammergericht Berlin und weitere Dienststellen verantwortlich. Emotet galt als derzeit gefährlichste Schadsoftware weltweit und hat auch in Deutschland neben Computern zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert. Dazu gehören beispielsweise die IT des Klinikums Fürth, des Kammergerichts Berlin, der Bundesanstalt für Immobilienaufgaben (BImA) oder der Stadt Frankfurt am Main.

Emotet besaß als sogenannter „Downloader" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen „Botnetzes" wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy" gegen Entgelt angeboten. Deshalb kann das kriminelle Geschäftsmodell von Emotet als „Malware-as-a-Service" bezeichnet werden.

Das Netzwerk der Emotet-Hintermänner bot weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe. Alleine in Deutschland ist durch Infektionen mit der Malware Emotet oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden. Ich halte die Angabe von 14,5 Millionen Euro für sehr konservativ, die weltweit durch Emotet-Infektionen verursachte Schäden gehen in die hunderte Millionen, wenn nicht in die Milliarden. Hier im Blog finden sich zahlreiche Artikel zu Emotet.

Deutsche Strafverfolger und BKA reagieren

In einer gemeinsamen Mitteilung des BKA, der Generalstaatsanwaltschaft Frankfurt am Main, der Zentralstelle zur Bekämpfung von Internet-Kriminalität (ZIT) und des Bundeskriminalamtes vom 27. Januar 2021 wurde gerade das "Takedown" der Emotet-Infrastruktur bekannt gegeben. Am gestrigen Dienstag, den 26. Januar 2021 lief eine international konzertierte Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA, um die Infrastruktur der Schadsoftware Emotet mit Unterstützung von Europol und Eurojust zu übernehmen und zu zerschlagen.

Langwierige Ermittlungen seit 2018

Die Ermittlungen von ZIT und BKA gegen die Betreiber der Schadsoftware Emotet und des Emotet-Botnetzes wegen des Verdachts des gemeinschaftlichen gewerbsmäßigen Computerbetruges und anderer Straftaten werden seit August 2018 geführt, so das BKA.

Im Rahmen dieses Ermittlungsverfahrens wurden zunächst in Deutschland verschiedene Server identifiziert, mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschlüsselter Kommunikation kontrolliert und gesteuert werden. Umfangreiche Analysen der ermittelten Daten führten zu der Identifizierung weiterer Server in mehreren europäischen Staaten. So konnten im Wege der internationalen Rechtshilfe weitere Daten erlangt und die Emotet-Infrastruktur durch Beamte des BKA und der internationalen Partnerdienststellen immer weiter aufgedeckt werden.

Internationale Aktion zum Takedown

Da sich die auf diese Weise identifizierten Bestandteile der Emotet-Infrastruktur in mehreren Ländern befinden, sind die gestrigen Maßnahmen zum „Takedown" auf Initiative von ZIT und BKA in enger Kooperation mit den betroffenen internationalen Strafverfolgungsbehörden durchgeführt worden. Beamte des BKA sowie Staatsanwälte der ZIT haben dabei in Deutschland bisher bereits 17 Server beschlagnahmt. Daneben sind auf Ersuchen der deutschen Strafverfolgungsbehörden auch in den Niederlanden, in Litauen und in der Ukraine im Rahmen von internationalen Rechtshilfemaßnahmen weitere Server beschlagnahmt worden.


Anzeige

Durch dieses von Europol und Eurojust koordinierte Vorgehen ist es nicht nur gelungen, den Zugriff der Täter auf die Emotet-Infrastruktur zu unterbinden. Auch umfangreiche Beweismittel wurden gesichert. Zudem konnte im Rahmen der Rechtshilfemaßnahmen in der Ukraine bei einem der mutmaßlichen Betreiber die Kontrolle über die Emotet-Infrastruktur übernommen werden.

Emotet auf Opfersystemen in Quarantäne verschoben

Durch die Übernahme der Kontrolle über die Emotet-Infrastruktur war es dem Cyber-Spezialisten des BKA möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen. Um den Cyber-Kriminellen jegliche Möglichkeit zu nehmen, die Kontrolle zurück zu erlangen, wurde die Schadsoftware auf den Opfersystemen in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst, dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können. Die dabei erlangten Informationen über die Opfersysteme wie z.B. öffentliche IP-Adressen werden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt.

Das BSI benachrichtigt die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Provider werden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stellt das BSI Informationen zur Bereinigung betroffener Systeme zur Verfügung.

Für ZIT und BKA stellt das Zerschlagen der Emotet-Infrastruktur einen bedeutenden Schlag gegen die international organisierte Internetkriminalität und zugleich eine wesentliche Verbesserung der Cybersicherheit in Deutschland dar. Spannend bleibt jetzt, ob man über die beschlagnahmten Server und Beweismittel die Hintermänner der Emotet-Gruppe aufspüren und dingfest machen kann. Und es steht für mich die Frage im Raum: Gelingt es den Cyber-Kriminellen der Emotet-Gruppe erneut eine ähnliche Infrastruktur aufzuziehen.

Ergänzung: Die Mitteilung von Europol lässt sich hier abrufen. Ein Youtube-Video der Polizei der Ukraine zeigt übrigens die Beschlagnahme der Hardware – ziemlich wilder Aufbau und recht alte PCs. Inzwischen gibt es Berichtet, dass Emotet sich am 25. März 2021 deinstallieren soll (siehe Emotet deinstalliert sich angeblich am 25. März 2021).

Ähnliche Artikel:
Cryptolaemus und der Kampf gegen Emotet
EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate
Warnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)
Emotet wütet bei der Studienstiftung des deutschen Volkes
Emotet-Trojaner/Ransomware weiter aktiv
Microsoft warnt vor massiver Emotet-Kampagne
Emotet-Trojaner kann Computer im Netzwerk überlasten
Emotet Malware als vermeintliches Word-Update getarnt

Emotet-Trojaner-Befall in Berliner Oberlandesgericht
Emotet-Infektion an Medizinischer Hochschule Hannover
Emotet C&C-Server liefern neue Schadsoftware aus–Neustadt gerade infiziert
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet zielt auf Banken in DACH
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt
Neu Emotet-Kampagne zu Weihnachten 2020


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu BKA: Infrastruktur der Emotet-Schadsoftware übernommen und zerschlagen

  1. 1ST1 sagt:

    Solange man die Hintermänner nicht gefasst hat, könnnen die die Infrastruktur wahrscheinlich problemlos wieder hoch ziehen. Oder man hat vielleicht sogar Teile der Infrastruktur übersehen und das Ding lebt noch irgendwo.

    • flewasy sagt:

      man hätt ooch mal schreiben können: "jute Aktion".
      Zuerst mal.
      Aber nein das ist in diesen Hallen ja nicht so erwünscht.
      schwacher komment – weil, sein kann immer alles…

      • Günter Born sagt:

        Ändert aber nichts an der Tatsache, dass die Möglichkeit durchaus real und nicht von der Hand zu weisen ist. Die Gedanken hatte ich auch, und hinterfragen kann man das schon, wenn es in der Form wie oben erfolgt.

        Wenn man auch den Hut vor den Cyber-Spezialisten der Zentralstelle zur Bekämpfung von Internet-Kriminalität (ZIT) ziehen sollte. Meine Meinung.

        Ergänzung: Gerade schlagen bei mir die Stellungnahmen der Sicherheitsanbieter ein. Von Vectra heißt es:

        Die Abschaltung von Emotet ist das Äquivalent zur Abschaltung eines großen AWS- oder Azure-Rechenzentrums. Die unmittelbare Auswirkung wäre spürbar, aber letztendlich würden Unternehmen, die diese Infrastruktur nutzen, versuchen, ihre Dienste woanders hin zu verlagern, möglicherweise auch in eine intern verwaltete Infrastruktur. Dies könnte einige Zeit dauern, abhängig von den Fähigkeiten und der Finanzierung der Organisationen, die diese Infrastruktur nutzen.

        Und in einer zweiten Stellungnahme aus dem gleichen Hause heißt es:

        Die Strafverfolgungsbehörden sollten dazu beglückwünscht werden, dass sie eine Schlacht gewonnen und die Infrastruktur von Emotet ausgeschaltet haben. Diese Aktionen werden die Betriebskosten für die Emotet-Cyberkriminellen erhöht und zweifellos andere cyberkriminelle Gruppen gestört haben, die die Dienste von Emotet genutzt haben. Eine gewonnene Schlacht ist jedoch nicht dasselbe wie ein Sieg in einem immer noch stattfindenden Krieg.

        Zwar ist die Emotet-Infrastruktur nun nicht mehr verfügbar, doch die Hürden für den Aufbau einer Ersatzinfrastruktur und die Modifizierung des Malware-Codes sind niedrig. Die Taktiken, Techniken und Verfahren, die seine Betreiber verwenden, werden jedoch zum möglichen erneuten Betrieb beitragen und können ihre Betreiber immer noch verraten. Hier zeichnen sich verhaltensbasierte Erkennungsansätze aus, da sie im Gegensatz zum engen Fokus und der statischen Natur von Signaturen ohne vorherige Kenntnis der Malware funktionieren.

        Ich fürchte, wir werden bald über die nächsten Vorfälle berichten dürfen. Was gut ist: Durch diese Aktionen werden die 'Betriebskosten' der Cyber-Gangs erhöht und das Risiko steigt, doch noch belangt zu werden.

      • 1ST1 sagt:

        Natürlich ist das eine gute Aktion, mit allzugroßem Jubel mag ich mich da noch zurück halten, ich bin halt skeptisch, totgesagte leben ab und zu halt doch länger.

  2. No sagt:

    Nicht schnell, aber dann scheint es doch gut zu sein. Hoffentlich für länger als den US-Aktionen im Okt/Dez.

    Vor kurzem hatte zwar Bleeping-Computer, aber (noch) nicht https://twitter.com/Cryptolaemus1 berichtet.

Schreibe einen Kommentar zu No Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.