Anzeige

Emotet

Cybersecurity ist immer ein Wettlauf: Mal haben die „Guten“ die Nase vorn, dann wieder die „Bösen“. Vor Kurzem konnten Ermittler einen spektakulären Erfolg feiern und die Infrastruktur des Emotet-Botnetzes zerschlagen.

Das BKA und die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) hatten die groß angelegte, internationale Aktion gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA durchgeführt. Auch Europol und Eurojust waren mit an Bord.

Emotet galt weltweit als gefährlichste Malware und hat allein in Deutschland einen Schaden von mindestens 14,5 Millionen Euro verursacht. Sie infizierte ihre Opfer meist via Spear Phishing über ein präpariertes Word-Dokument. Ist die Macro-Funktion in Word aktiviert, wird beim Öffnen der eingebettete Schadcode ausgeführt. Emotet lädt dann weitere Malware nach, zum Beispiel den Banking-Trojaner Trickbot oder die Ransomware Ryuk. Die Emotet-Angreifer boten ihren Hintertür-Zugang auch anderen Cyberkriminellen an und betrieben damit „Malware as a Service“ im großen Stil.

So gingen die Ermittler vor

Bereits seit August 2018 hatten das BKA und die ZIT gegen die Emotet-Angreifer ermittelt. Zunächst konnten sie verschiedene Server in Deutschland identifizieren, mit denen die Cyberkriminellen die Schadsoftware verteilt und die Opfersysteme gesteuert hatten. Umfangreiche Daten-Analysen führten zu weiteren Gliedern der Emotet-Infrastruktur, auch im Ausland. Ende Januar 2021 erfolgte dann der Großeinsatz: In Deutschland haben die Ermittler bisher 17 Server beschlagnahmt. Dazu kommen Systeme in den Niederlanden, der Ukraine und Litauen. Außerdem gelang es den Strafverfolgungsbehörden, bei einem mutmaßlichen Betreiber in der Ukraine die Kontrolle über die Emotet-Infrastruktur zu übernehmen. So konnten sie diese von innen heraus aushebeln. Dafür passten sie die Kommunikationsparameter der Schadsoftware so an, dass Opfersysteme nicht mehr mit den Tätern kommunizieren. Stattdessen liefern sie Daten an eine eigens eingerichtete Infrastruktur, die der Beweissicherung dient. Das BSI informiert die zuständigen nationalen Netzbetreiber dann über die infizierten Anschlüsse und die Provider verständigen die Betroffenen.

Auch die SolarWinds-Angreifer agierten perfekt getarnt

Mit der Emotet-Aktion gelang es den Strafverfolgungsbehörden erstmals, eine kriminelle Infrastruktur zu infiltrieren und damit außer Kraft zu setzen. Doch auch Hacker beherrschen solche geheime Tricks schon lange. Besonders spektakulär zeigt das der SolarWinds-Angriff, bei dem Cyberkriminelle ein Update der Orion-Plattform kompromittierten – einer Netzwerkmanagement-Software, die auch viele US-Behörden nutzen. Da die Schadsoftware direkt in den Code eingebettet und gültig signiert wurde, war sie perfekt getarnt. Kunden, die das kompromittierte Update installierten, bekamen die Backdoor „SUNBURST“ frei Haus. Mit ihrer Hilfe konnten Hacker lange Zeit unbemerkt Daten ausspionieren.

Der Angriff auf SolarWinds fand vermutlich bereits im Frühjahr 2020 statt, wurde aber erst im Dezember 2020 entdeckt. Im Rahmen der Ermittlungen fanden Sicherheitsforscher schließlich noch eine zweite Backdoor, die offensichtlich von einer anderen Hackergruppe stammte. Die Angreifer hatten die bis dahin unbekannte Schwachstelle CVE-2020-10114 in der Orion-Plattform ausgenutzt, um eine bösartige Webshell mit dem Namen „SUPERNOVA“ auf Zielen zu installieren, auf denen die Orion-Plattform läuft. SolarWinds hat mittlerweile entsprechende Software-Aktualisierungen zur Fehlerbehebung veröffentlicht.

Kurz aufatmen – aber wachsam bleiben

Emotet und der SolarWinds-Hack sind Beispiele für besonders gefährliche, komplexe und mehrstufige Angriffe. Auch wenn die Emotet-Infrastruktur zunächst einmal zerschlagen ist und es Hotfixes für die SolarWinds-Software gibt, dürfen wir uns nicht entspannt zurücklehnen. Die jeweiligen Hackergruppen sind noch nicht gefasst und werden weiter ihr Unwesen treiben. Die SolarWinds-Akteure haben offensichtlich schon wieder an anderer Stelle angegriffen. So meldete das Sicherheitssoftware-Unternehmen Malwarebytes vor Kurzem einen Vorfall, der auf dieselben Cyberkriminellen hindeutet. Diesmal missbrauchten die Hacker allerdings Anwendungen mit privilegiertem Zugriff auf Office 365- und Azure-Umgebungen. Auch von den Emotet-Betreibern wird man vermutlich bald wieder hören. Es ist nur eine Frage der Zeit, bis sie einen Plan B aushecken oder ihre Infrastruktur neuformieren.

So schützen Sie sich

Das BSI empfiehlt allen Betroffenen, eine Emotet-Infektion ernst zu nehmen, auch wenn die Gefahr gebannt scheint. Sie sollten ihre Systeme genau untersuchen und bereinigen. Denn höchstwahrscheinlich ist es auch anderer Schadsoftware gelungen, einzudringen. Wer die Orion-Plattform von SolarWinds nutzt, sollte unbedingt prüfen, ob er die kompromittierten Updates erhalten hat, und die Software-Aktualisierungen einspielen. Der Greenbone Security Manager (GSM) bietet bereits Schwachstellentests für SUNBURST/SOLORIGATE und CVE-2020-10148. Er kann zudem analysieren, ob schon eine SUPERNOVA, TEARDROP- oder RAINDROP-Infektion stattgefunden hat. Regelmäßige Schwachstellen-Scans werden vor dem Hintergrund zunehmend komplexer Cyberangriffe immer wichtiger. Sie ermöglichen es, Verwundbarkeiten und gefährliche Konfigurationen frühzeitig zu erkennen. Eine Emotet-Infektion ließe sich so verhindern.

Fazit: Wir feiern einen Etappen-Sieg

Auch wenn die „Guten“ diesmal einen Erfolg errungen haben, ist dies nicht mehr als ein Etappensieg. Der Security-Wettlauf geht munter weiter und schon bald haben vielleicht wieder die Cyberkriminellen die Nase vorn. Das Beste, was Unternehmen tun können, ist Ihre IT-Umgebung so gut es geht zu härten und Sicherheitslücken frühzeitig zu schließen. So lassen sich Risiken minimieren. Denn laut dem Data Breach Investigations Report bauen 999 von 1.000 erfolgreichen Angriffen auf Schwachstellen auf, die bereits über ein Jahr lang bekannt sind.

Elmar Geese, COO
Elmar Geese
COO, Greenbone

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Emotet
Feb 04, 2021

Emotet-Takedown bedeutet nicht das Ende von Cyberangriffen

Zusammen mit internationalen Behörden wie EUROPOL gelang es dem Bundeskriminalamt (BKA)…
Quellcode
Jan 11, 2021

SolarWinds: Die Offenlegung des Microsofts Quellcodes im Kontext

Mitte Dezember veröffentlichte SolarWinds, Anbieter von IT-Management-Software, ein…
Malware
Dez 15, 2020

Makro-Malware: Perfide Schädlinge in Dokumenten

Makro-Malware hat mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der…

Weitere Artikel

IoT

Internet of Things (IoT): Altgeräte entpuppen sich als Sicherheitsfallen

Es klingt zu verlockend: Smarte Steckdosen und Lampen, Router oder Alarmanlagen werden auf digitalen Flohmärkten und sogar in manchen Online-Shops zu außergewöhnlich günstigen Preisen angeboten. Bei genauerem Hinsehen erweisen sich die vermeintlichen…
Trojaner

Gemeinsam gegen Verschlüsselungstrojaner

Funktionierende und sichere IT-Infrastrukturen sind von grundlegender Bedeutung für unsere Gesellschaft, das hat uns die Corona-Pandemie deutlich gezeigt. Mit fortschreitender Digitalisierung werden Unternehmen, Behörden sowie Bürger:Innen jedoch auch zur…
Remote Work Sicherheit

Produktivität und Sicherheit bei Remote Work gewährleisten

LogMeIn, Inc., ein Anbieter von Lösungen wie GoTo, LastPass und Rescue, die das „Work-From-Anywhere“-Konzept unterstützen, veröffentlicht eine Studie, die in Zusammenarbeit mit IDG entstanden ist.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!