Anzeige

Emotet

Cybersecurity ist immer ein Wettlauf: Mal haben die „Guten“ die Nase vorn, dann wieder die „Bösen“. Vor Kurzem konnten Ermittler einen spektakulären Erfolg feiern und die Infrastruktur des Emotet-Botnetzes zerschlagen.

Das BKA und die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) hatten die groß angelegte, internationale Aktion gemeinsam mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA durchgeführt. Auch Europol und Eurojust waren mit an Bord.

Emotet galt weltweit als gefährlichste Malware und hat allein in Deutschland einen Schaden von mindestens 14,5 Millionen Euro verursacht. Sie infizierte ihre Opfer meist via Spear Phishing über ein präpariertes Word-Dokument. Ist die Macro-Funktion in Word aktiviert, wird beim Öffnen der eingebettete Schadcode ausgeführt. Emotet lädt dann weitere Malware nach, zum Beispiel den Banking-Trojaner Trickbot oder die Ransomware Ryuk. Die Emotet-Angreifer boten ihren Hintertür-Zugang auch anderen Cyberkriminellen an und betrieben damit „Malware as a Service“ im großen Stil.

So gingen die Ermittler vor

Bereits seit August 2018 hatten das BKA und die ZIT gegen die Emotet-Angreifer ermittelt. Zunächst konnten sie verschiedene Server in Deutschland identifizieren, mit denen die Cyberkriminellen die Schadsoftware verteilt und die Opfersysteme gesteuert hatten. Umfangreiche Daten-Analysen führten zu weiteren Gliedern der Emotet-Infrastruktur, auch im Ausland. Ende Januar 2021 erfolgte dann der Großeinsatz: In Deutschland haben die Ermittler bisher 17 Server beschlagnahmt. Dazu kommen Systeme in den Niederlanden, der Ukraine und Litauen. Außerdem gelang es den Strafverfolgungsbehörden, bei einem mutmaßlichen Betreiber in der Ukraine die Kontrolle über die Emotet-Infrastruktur zu übernehmen. So konnten sie diese von innen heraus aushebeln. Dafür passten sie die Kommunikationsparameter der Schadsoftware so an, dass Opfersysteme nicht mehr mit den Tätern kommunizieren. Stattdessen liefern sie Daten an eine eigens eingerichtete Infrastruktur, die der Beweissicherung dient. Das BSI informiert die zuständigen nationalen Netzbetreiber dann über die infizierten Anschlüsse und die Provider verständigen die Betroffenen.

Auch die SolarWinds-Angreifer agierten perfekt getarnt

Mit der Emotet-Aktion gelang es den Strafverfolgungsbehörden erstmals, eine kriminelle Infrastruktur zu infiltrieren und damit außer Kraft zu setzen. Doch auch Hacker beherrschen solche geheime Tricks schon lange. Besonders spektakulär zeigt das der SolarWinds-Angriff, bei dem Cyberkriminelle ein Update der Orion-Plattform kompromittierten – einer Netzwerkmanagement-Software, die auch viele US-Behörden nutzen. Da die Schadsoftware direkt in den Code eingebettet und gültig signiert wurde, war sie perfekt getarnt. Kunden, die das kompromittierte Update installierten, bekamen die Backdoor „SUNBURST“ frei Haus. Mit ihrer Hilfe konnten Hacker lange Zeit unbemerkt Daten ausspionieren.

Der Angriff auf SolarWinds fand vermutlich bereits im Frühjahr 2020 statt, wurde aber erst im Dezember 2020 entdeckt. Im Rahmen der Ermittlungen fanden Sicherheitsforscher schließlich noch eine zweite Backdoor, die offensichtlich von einer anderen Hackergruppe stammte. Die Angreifer hatten die bis dahin unbekannte Schwachstelle CVE-2020-10114 in der Orion-Plattform ausgenutzt, um eine bösartige Webshell mit dem Namen „SUPERNOVA“ auf Zielen zu installieren, auf denen die Orion-Plattform läuft. SolarWinds hat mittlerweile entsprechende Software-Aktualisierungen zur Fehlerbehebung veröffentlicht.

Kurz aufatmen – aber wachsam bleiben

Emotet und der SolarWinds-Hack sind Beispiele für besonders gefährliche, komplexe und mehrstufige Angriffe. Auch wenn die Emotet-Infrastruktur zunächst einmal zerschlagen ist und es Hotfixes für die SolarWinds-Software gibt, dürfen wir uns nicht entspannt zurücklehnen. Die jeweiligen Hackergruppen sind noch nicht gefasst und werden weiter ihr Unwesen treiben. Die SolarWinds-Akteure haben offensichtlich schon wieder an anderer Stelle angegriffen. So meldete das Sicherheitssoftware-Unternehmen Malwarebytes vor Kurzem einen Vorfall, der auf dieselben Cyberkriminellen hindeutet. Diesmal missbrauchten die Hacker allerdings Anwendungen mit privilegiertem Zugriff auf Office 365- und Azure-Umgebungen. Auch von den Emotet-Betreibern wird man vermutlich bald wieder hören. Es ist nur eine Frage der Zeit, bis sie einen Plan B aushecken oder ihre Infrastruktur neuformieren.

So schützen Sie sich

Das BSI empfiehlt allen Betroffenen, eine Emotet-Infektion ernst zu nehmen, auch wenn die Gefahr gebannt scheint. Sie sollten ihre Systeme genau untersuchen und bereinigen. Denn höchstwahrscheinlich ist es auch anderer Schadsoftware gelungen, einzudringen. Wer die Orion-Plattform von SolarWinds nutzt, sollte unbedingt prüfen, ob er die kompromittierten Updates erhalten hat, und die Software-Aktualisierungen einspielen. Der Greenbone Security Manager (GSM) bietet bereits Schwachstellentests für SUNBURST/SOLORIGATE und CVE-2020-10148. Er kann zudem analysieren, ob schon eine SUPERNOVA, TEARDROP- oder RAINDROP-Infektion stattgefunden hat. Regelmäßige Schwachstellen-Scans werden vor dem Hintergrund zunehmend komplexer Cyberangriffe immer wichtiger. Sie ermöglichen es, Verwundbarkeiten und gefährliche Konfigurationen frühzeitig zu erkennen. Eine Emotet-Infektion ließe sich so verhindern.

Fazit: Wir feiern einen Etappen-Sieg

Auch wenn die „Guten“ diesmal einen Erfolg errungen haben, ist dies nicht mehr als ein Etappensieg. Der Security-Wettlauf geht munter weiter und schon bald haben vielleicht wieder die Cyberkriminellen die Nase vorn. Das Beste, was Unternehmen tun können, ist Ihre IT-Umgebung so gut es geht zu härten und Sicherheitslücken frühzeitig zu schließen. So lassen sich Risiken minimieren. Denn laut dem Data Breach Investigations Report bauen 999 von 1.000 erfolgreichen Angriffen auf Schwachstellen auf, die bereits über ein Jahr lang bekannt sind.

Elmar Geese, COO
Elmar Geese
COO, Greenbone

Artikel zu diesem Thema

Emotet
Feb 04, 2021

Emotet-Takedown bedeutet nicht das Ende von Cyberangriffen

Zusammen mit internationalen Behörden wie EUROPOL gelang es dem Bundeskriminalamt (BKA)…
Quellcode
Jan 11, 2021

SolarWinds: Die Offenlegung des Microsofts Quellcodes im Kontext

Mitte Dezember veröffentlichte SolarWinds, Anbieter von IT-Management-Software, ein…
Malware
Dez 15, 2020

Makro-Malware: Perfide Schädlinge in Dokumenten

Makro-Malware hat mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der…

Weitere Artikel

Cyber Security

Wenige Branchen fühlen sich Herausforderungen der IT-Sicherheit gewachsen

Mit der zunehmenden Vernetzung und Digitalisierung wächst das Bedrohungspotenzial von Cyberattacken erheblich und das Risiko von Datenverlust und Datenmanipulation ist hoch. Wenige Branchen fühlen sich im Bereich IT-Sicherheit gut vorbereitet.
Cyber Security

So schützt sich die deutsche Wirtschaft gegen Diebstahl und Spionage

Diebstahl, Spionage und Sabotage können jedes Unternehmen treffen und zu einer existenziellen Gefahr werden. Doch nur die Hälfte der Betriebe im Land verfügt über geregelte Abläufe und Sofort-Maßnahmen, also ein Notfallmanagement, für den Ernstfall.
Cyber Security

3 aktuelle Faktoren, die die IT-Security beeinflussen

Der Oktober steht ganz im Zeichen der Cybersecurity, um Nutzer daran zu erinnern, im Internet vorsichtig mit ihren Daten umzugehen. Nie war diese Warnung so nötig wie heute – immer mehr Menschen nutzen immer mehr digitale Dienste.
Laptop

Fast jeder zweite in Deutschland ist online unsicher unterwegs

Die neue Bitdefender-Studie 2021 Bitdefender Global Report: Cybersecurity and Online Behaviors beleuchtet das Sicherheitsverhalten von Verbrauchern in elf Ländern, darunter auch Deutschland. Auch wenn deutsche Verbraucher im Vergleich zu den Befragten in…
Phishing

Anti-Phishing-Tipps für mehr Sicherheit im Netz

Phishing-Attacken – etwa in Form einer Mail vom nigerianischen Prinzen – gibt es nicht erst seit gestern. Viele Internetnutzer sind daher mittlerweile in der Lage zu erkennen, dass es sich um Betrug handelt. Allerdings werden die Angriffe immer ausgefeilter.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.