Anzeige

Emotet

Cybersecurity ist immer ein Wettlauf: Mal haben die „Guten“ die Nase vorn, dann wieder die „Bösen“. Vor Kurzem konnten Ermittler einen spektakulären Erfolg feiern und die Infrastruktur des Emotet-Botnetzes zerschlagen.

Das BKA und die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) hatten die groß angelegte, internationale Aktion gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA durchgeführt. Auch Europol und Eurojust waren mit an Bord.

Emotet galt weltweit als gefährlichste Malware und hat allein in Deutschland einen Schaden von mindestens 14,5 Millionen Euro verursacht. Sie infizierte ihre Opfer meist via Spear Phishing über ein präpariertes Word-Dokument. Ist die Macro-Funktion in Word aktiviert, wird beim Öffnen der eingebettete Schadcode ausgeführt. Emotet lädt dann weitere Malware nach, zum Beispiel den Banking-Trojaner Trickbot oder die Ransomware Ryuk. Die Emotet-Angreifer boten ihren Hintertür-Zugang auch anderen Cyberkriminellen an und betrieben damit „Malware as a Service“ im großen Stil.

So gingen die Ermittler vor

Bereits seit August 2018 hatten das BKA und die ZIT gegen die Emotet-Angreifer ermittelt. Zunächst konnten sie verschiedene Server in Deutschland identifizieren, mit denen die Cyberkriminellen die Schadsoftware verteilt und die Opfersysteme gesteuert hatten. Umfangreiche Daten-Analysen führten zu weiteren Gliedern der Emotet-Infrastruktur, auch im Ausland. Ende Januar 2021 erfolgte dann der Großeinsatz: In Deutschland haben die Ermittler bisher 17 Server beschlagnahmt. Dazu kommen Systeme in den Niederlanden, der Ukraine und Litauen. Außerdem gelang es den Strafverfolgungsbehörden, bei einem mutmaßlichen Betreiber in der Ukraine die Kontrolle über die Emotet-Infrastruktur zu übernehmen. So konnten sie diese von innen heraus aushebeln. Dafür passten sie die Kommunikationsparameter der Schadsoftware so an, dass Opfersysteme nicht mehr mit den Tätern kommunizieren. Stattdessen liefern sie Daten an eine eigens eingerichtete Infrastruktur, die der Beweissicherung dient. Das BSI informiert die zuständigen nationalen Netzbetreiber dann über die infizierten Anschlüsse und die Provider verständigen die Betroffenen.

Auch die SolarWinds-Angreifer agierten perfekt getarnt

Mit der Emotet-Aktion gelang es den Strafverfolgungsbehörden erstmals, eine kriminelle Infrastruktur zu infiltrieren und damit außer Kraft zu setzen. Doch auch Hacker beherrschen solche geheime Tricks schon lange. Besonders spektakulär zeigt das der SolarWinds-Angriff, bei dem Cyberkriminelle ein Update der Orion-Plattform kompromittierten – einer Netzwerkmanagement-Software, die auch viele US-Behörden nutzen. Da die Schadsoftware direkt in den Code eingebettet und gültig signiert wurde, war sie perfekt getarnt. Kunden, die das kompromittierte Update installierten, bekamen die Backdoor „SUNBURST“ frei Haus. Mit ihrer Hilfe konnten Hacker lange Zeit unbemerkt Daten ausspionieren.

Der Angriff auf SolarWinds fand vermutlich bereits im Frühjahr 2020 statt, wurde aber erst im Dezember 2020 entdeckt. Im Rahmen der Ermittlungen fanden Sicherheitsforscher schließlich noch eine zweite Backdoor, die offensichtlich von einer anderen Hackergruppe stammte. Die Angreifer hatten die bis dahin unbekannte Schwachstelle CVE-2020-10114 in der Orion-Plattform ausgenutzt, um eine bösartige Webshell mit dem Namen „SUPERNOVA“ auf Zielen zu installieren, auf denen die Orion-Plattform läuft. SolarWinds hat mittlerweile entsprechende Software-Aktualisierungen zur Fehlerbehebung veröffentlicht.

Kurz aufatmen – aber wachsam bleiben

Emotet und der SolarWinds-Hack sind Beispiele für besonders gefährliche, komplexe und mehrstufige Angriffe. Auch wenn die Emotet-Infrastruktur zunächst einmal zerschlagen ist und es Hotfixes für die SolarWinds-Software gibt, dürfen wir uns nicht entspannt zurücklehnen. Die jeweiligen Hackergruppen sind noch nicht gefasst und werden weiter ihr Unwesen treiben. Die SolarWinds-Akteure haben offensichtlich schon wieder an anderer Stelle angegriffen. So meldete das Sicherheitssoftware-Unternehmen Malwarebytes vor Kurzem einen Vorfall, der auf dieselben Cyberkriminellen hindeutet. Diesmal missbrauchten die Hacker allerdings Anwendungen mit privilegiertem Zugriff auf Office 365- und Azure-Umgebungen. Auch von den Emotet-Betreibern wird man vermutlich bald wieder hören. Es ist nur eine Frage der Zeit, bis sie einen Plan B aushecken oder ihre Infrastruktur neuformieren.

So schützen Sie sich

Das BSI empfiehlt allen Betroffenen, eine Emotet-Infektion ernst zu nehmen, auch wenn die Gefahr gebannt scheint. Sie sollten ihre Systeme genau untersuchen und bereinigen. Denn höchstwahrscheinlich ist es auch anderer Schadsoftware gelungen, einzudringen. Wer die Orion-Plattform von SolarWinds nutzt, sollte unbedingt prüfen, ob er die kompromittierten Updates erhalten hat, und die Software-Aktualisierungen einspielen. Der Greenbone Security Manager (GSM) bietet bereits Schwachstellentests für SUNBURST/SOLORIGATE und CVE-2020-10148. Er kann zudem analysieren, ob schon eine SUPERNOVA, TEARDROP- oder RAINDROP-Infektion stattgefunden hat. Regelmäßige Schwachstellen-Scans werden vor dem Hintergrund zunehmend komplexer Cyberangriffe immer wichtiger. Sie ermöglichen es, Verwundbarkeiten und gefährliche Konfigurationen frühzeitig zu erkennen. Eine Emotet-Infektion ließe sich so verhindern.

Fazit: Wir feiern einen Etappen-Sieg

Auch wenn die „Guten“ diesmal einen Erfolg errungen haben, ist dies nicht mehr als ein Etappensieg. Der Security-Wettlauf geht munter weiter und schon bald haben vielleicht wieder die Cyberkriminellen die Nase vorn. Das Beste, was Unternehmen tun können, ist Ihre IT-Umgebung so gut es geht zu härten und Sicherheitslücken frühzeitig zu schließen. So lassen sich Risiken minimieren. Denn laut dem Data Breach Investigations Report bauen 999 von 1.000 erfolgreichen Angriffen auf Schwachstellen auf, die bereits über ein Jahr lang bekannt sind.

Elmar Geese, COO
Elmar Geese
COO, Greenbone

Artikel zu diesem Thema

Emotet
Feb 04, 2021

Emotet-Takedown bedeutet nicht das Ende von Cyberangriffen

Zusammen mit internationalen Behörden wie EUROPOL gelang es dem Bundeskriminalamt (BKA)…
Quellcode
Jan 11, 2021

SolarWinds: Die Offenlegung des Microsofts Quellcodes im Kontext

Mitte Dezember veröffentlichte SolarWinds, Anbieter von IT-Management-Software, ein…
Malware
Dez 15, 2020

Makro-Malware: Perfide Schädlinge in Dokumenten

Makro-Malware hat mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der…

Weitere Artikel

Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…
rote Ampel

Wenn die Software-Ampel auf Rot springt

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision.
Smart City

Inwieweit können wir die Smart City von morgen schützen?

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für…
Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.