Anzeige

Emotet

Cybersecurity ist immer ein Wettlauf: Mal haben die „Guten“ die Nase vorn, dann wieder die „Bösen“. Vor Kurzem konnten Ermittler einen spektakulären Erfolg feiern und die Infrastruktur des Emotet-Botnetzes zerschlagen.

Das BKA und die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) hatten die groß angelegte, internationale Aktion gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA durchgeführt. Auch Europol und Eurojust waren mit an Bord.

Emotet galt weltweit als gefährlichste Malware und hat allein in Deutschland einen Schaden von mindestens 14,5 Millionen Euro verursacht. Sie infizierte ihre Opfer meist via Spear Phishing über ein präpariertes Word-Dokument. Ist die Macro-Funktion in Word aktiviert, wird beim Öffnen der eingebettete Schadcode ausgeführt. Emotet lädt dann weitere Malware nach, zum Beispiel den Banking-Trojaner Trickbot oder die Ransomware Ryuk. Die Emotet-Angreifer boten ihren Hintertür-Zugang auch anderen Cyberkriminellen an und betrieben damit „Malware as a Service“ im großen Stil.

So gingen die Ermittler vor

Bereits seit August 2018 hatten das BKA und die ZIT gegen die Emotet-Angreifer ermittelt. Zunächst konnten sie verschiedene Server in Deutschland identifizieren, mit denen die Cyberkriminellen die Schadsoftware verteilt und die Opfersysteme gesteuert hatten. Umfangreiche Daten-Analysen führten zu weiteren Gliedern der Emotet-Infrastruktur, auch im Ausland. Ende Januar 2021 erfolgte dann der Großeinsatz: In Deutschland haben die Ermittler bisher 17 Server beschlagnahmt. Dazu kommen Systeme in den Niederlanden, der Ukraine und Litauen. Außerdem gelang es den Strafverfolgungsbehörden, bei einem mutmaßlichen Betreiber in der Ukraine die Kontrolle über die Emotet-Infrastruktur zu übernehmen. So konnten sie diese von innen heraus aushebeln. Dafür passten sie die Kommunikationsparameter der Schadsoftware so an, dass Opfersysteme nicht mehr mit den Tätern kommunizieren. Stattdessen liefern sie Daten an eine eigens eingerichtete Infrastruktur, die der Beweissicherung dient. Das BSI informiert die zuständigen nationalen Netzbetreiber dann über die infizierten Anschlüsse und die Provider verständigen die Betroffenen.

Auch die SolarWinds-Angreifer agierten perfekt getarnt

Mit der Emotet-Aktion gelang es den Strafverfolgungsbehörden erstmals, eine kriminelle Infrastruktur zu infiltrieren und damit außer Kraft zu setzen. Doch auch Hacker beherrschen solche geheime Tricks schon lange. Besonders spektakulär zeigt das der SolarWinds-Angriff, bei dem Cyberkriminelle ein Update der Orion-Plattform kompromittierten – einer Netzwerkmanagement-Software, die auch viele US-Behörden nutzen. Da die Schadsoftware direkt in den Code eingebettet und gültig signiert wurde, war sie perfekt getarnt. Kunden, die das kompromittierte Update installierten, bekamen die Backdoor „SUNBURST“ frei Haus. Mit ihrer Hilfe konnten Hacker lange Zeit unbemerkt Daten ausspionieren.

Der Angriff auf SolarWinds fand vermutlich bereits im Frühjahr 2020 statt, wurde aber erst im Dezember 2020 entdeckt. Im Rahmen der Ermittlungen fanden Sicherheitsforscher schließlich noch eine zweite Backdoor, die offensichtlich von einer anderen Hackergruppe stammte. Die Angreifer hatten die bis dahin unbekannte Schwachstelle CVE-2020-10114 in der Orion-Plattform ausgenutzt, um eine bösartige Webshell mit dem Namen „SUPERNOVA“ auf Zielen zu installieren, auf denen die Orion-Plattform läuft. SolarWinds hat mittlerweile entsprechende Software-Aktualisierungen zur Fehlerbehebung veröffentlicht.

Kurz aufatmen – aber wachsam bleiben

Emotet und der SolarWinds-Hack sind Beispiele für besonders gefährliche, komplexe und mehrstufige Angriffe. Auch wenn die Emotet-Infrastruktur zunächst einmal zerschlagen ist und es Hotfixes für die SolarWinds-Software gibt, dürfen wir uns nicht entspannt zurücklehnen. Die jeweiligen Hackergruppen sind noch nicht gefasst und werden weiter ihr Unwesen treiben. Die SolarWinds-Akteure haben offensichtlich schon wieder an anderer Stelle angegriffen. So meldete das Sicherheitssoftware-Unternehmen Malwarebytes vor Kurzem einen Vorfall, der auf dieselben Cyberkriminellen hindeutet. Diesmal missbrauchten die Hacker allerdings Anwendungen mit privilegiertem Zugriff auf Office 365- und Azure-Umgebungen. Auch von den Emotet-Betreibern wird man vermutlich bald wieder hören. Es ist nur eine Frage der Zeit, bis sie einen Plan B aushecken oder ihre Infrastruktur neuformieren.

So schützen Sie sich

Das BSI empfiehlt allen Betroffenen, eine Emotet-Infektion ernst zu nehmen, auch wenn die Gefahr gebannt scheint. Sie sollten ihre Systeme genau untersuchen und bereinigen. Denn höchstwahrscheinlich ist es auch anderer Schadsoftware gelungen, einzudringen. Wer die Orion-Plattform von SolarWinds nutzt, sollte unbedingt prüfen, ob er die kompromittierten Updates erhalten hat, und die Software-Aktualisierungen einspielen. Der Greenbone Security Manager (GSM) bietet bereits Schwachstellentests für SUNBURST/SOLORIGATE und CVE-2020-10148. Er kann zudem analysieren, ob schon eine SUPERNOVA, TEARDROP- oder RAINDROP-Infektion stattgefunden hat. Regelmäßige Schwachstellen-Scans werden vor dem Hintergrund zunehmend komplexer Cyberangriffe immer wichtiger. Sie ermöglichen es, Verwundbarkeiten und gefährliche Konfigurationen frühzeitig zu erkennen. Eine Emotet-Infektion ließe sich so verhindern.

Fazit: Wir feiern einen Etappen-Sieg

Auch wenn die „Guten“ diesmal einen Erfolg errungen haben, ist dies nicht mehr als ein Etappensieg. Der Security-Wettlauf geht munter weiter und schon bald haben vielleicht wieder die Cyberkriminellen die Nase vorn. Das Beste, was Unternehmen tun können, ist Ihre IT-Umgebung so gut es geht zu härten und Sicherheitslücken frühzeitig zu schließen. So lassen sich Risiken minimieren. Denn laut dem Data Breach Investigations Report bauen 999 von 1.000 erfolgreichen Angriffen auf Schwachstellen auf, die bereits über ein Jahr lang bekannt sind.

Elmar Geese, COO
Elmar Geese
COO, Greenbone

Artikel zu diesem Thema

Emotet
Feb 04, 2021

Emotet-Takedown bedeutet nicht das Ende von Cyberangriffen

Zusammen mit internationalen Behörden wie EUROPOL gelang es dem Bundeskriminalamt (BKA)…
Quellcode
Jan 11, 2021

SolarWinds: Die Offenlegung des Microsofts Quellcodes im Kontext

Mitte Dezember veröffentlichte SolarWinds, Anbieter von IT-Management-Software, ein…
Malware
Dez 15, 2020

Makro-Malware: Perfide Schädlinge in Dokumenten

Makro-Malware hat mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der…

Weitere Artikel

Cyber-Lockdown

Ein Jahr im Cyber-Lockdown. Was haben wir gelernt?

Als die aktuelle Pandemie Anfang letzten Jahres aufkam, fühlte sich nicht jeder Arbeitnehmer wohl bei der Umstellung auf eine digitalisierte Arbeitswelt – besonders da dieser Wechsel praktisch von heute auf Morgen passierte.
Phishing

Nutzer sind besser gegen COVID-19-bezogene Phishing-Angriffe gewappnet

KnowBe4, Anbieter der Plattform für Security Awareness Training und Phishing-Simulationen, gab die Ergebnisse seiner Phishing-Untersuchungen für das 1. Quartal 2021 bekannt.
Cyber Security

Nur zwölf Prozent der Unternehmen haben SASE vollständig eingeführt

NetMotion, ein Anbieter von Sicherheitslösungen für die weltweit wachsende Zahl mobiler und aus der Ferne tätiger Arbeitskräfte, hat die Ergebnisse seiner ersten globalen SASE-Studie bekannt gegeben.
Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.