Umfassender Überblick

Emotet ist zurück – auch in Deutschland

Emotet

TA542, eine Gruppe Cyberkrimineller, die die Emotet-Malware verbreitet, hat ihre Sommerpause beendet und ihre Arbeit im großen Maßstab sowie mit neuen Methoden wieder aufgenommen. Die Gruppe war fast vier Monate lang von der Bildfläche verschwunden und wurde im Sommer am 13. Juli 2022 zuletzt in Aktion gesehen.

Seit dem 2. November beobachten die Security-Spezialisten von Proofpoint neue Aktivitäten von TA542 – insbesondere auch in Deutschland.

Anzeige

Einige wesentliche Erkenntnisse zu den neuesten Kampagnen

  • TA542 verwendet in den neuen Kampagnen angepasste Emotet-Varianten. Die Änderungen (s.u.) betreffen die verwendeten Payloads und Köder ebenso wie Änderungen an den Emotet-Modulen, dem Loader und dem Packer.
  • Emotet liefert jetzt auch den Banking-Trojaner IcedID aus.
  • Die neuen Aktivitäten deuten darauf hin, dass Emotet wieder seine volle Funktionalität als Verbreitungsnetzwerk für verschiedene Sorten von Malware erreicht.
  • Das Botnet weist einige wesentliche Unterschiede zu früheren Kampagnen auf. Das deutet darauf hin, dass neue Betreiber oder ein neues Management beteiligt sind.
  • Die E-Mail-Kampagnen von TA542 gehören zu den Cybercrime-Spitzenreitern, gemessen am E-Mail-Volumen. Proofpoint hat bereits Hunderttausende von Nachrichten pro Tag blockiert.
  • Die Excel-Datei mit der Malware enthält Anweisungen für potenzielle Opfer, die Datei an einen Speicherort für Microsoft Office-Templates zu kopieren und sie von dort aus auszuführen. Dafür sind Administratorrechte erforderlich. Das trifft eher auf Privatrechner als auf Firmenrechner zu.

Die wesentlichen Neuerungen an Emotet:

  • Neue visuelle Köder für Excel-Anhänge
  • Änderungen an der Emotet-Binärdatei
  • Emotet nutzt eine neue Version des IcedID-Laders
  • Zusätzlich zu IcedID kommt der Malware-Downloader Bumblebee zum Einsatz

Die Cybersecurity-Experten von Proofpoint gehen davon aus, dass TA542 ihre Methode weiter anpassen wird, mit dem Potenzial für höhere E-Mail-Volumina, mehr Zielregionen und neue Varianten oder Techniken angehängter oder verknüpfter Malware. Die bereits erfolgten Änderungen an der Emotet-Binärdatei lassen vermuten, dass die Cyberkriminellen auch diese weiter anpassen werden.

Sherrod DeGrippo, Sr. Director Threat Research and Detection bei Proofpoint, ordnet die neue Emotet-Welle ein: „Emotet ist ein unglaublich leistungsfähiges Netzwerk zur Verbreitung von Malware. Es existiert schon seit Jahren und ist dem Volumen nach eine der größten Bedrohungen, die wir beobachten. Wir verfolgen die Aktivitäten aufgrund ihrer schieren Hartnäckigkeit und innovativen Taktiken sehr genau.

Emotet war seit Juli dieses Jahres nicht mehr in Erscheinung getreten und ist diesen Monat wieder aufgetaucht. Mit seiner Rückkehr haben wir einige Änderungen und Verbesserungen festgestellt. Emotet verwendet neue Excel-Anhänge als Köder, es gibt einige bemerkenswerte Aktualisierungen der Binärdatei, und einige Leute berichten, dass Emotet einen anderen Downloader namens Bumblebee ausliefert. Zudem liefert Emotet auch den IcedID-Loader aus. Täglich werden Hunderttausende von Nachrichten über Emotet verschickt, darunter auch Anhänge in Deutsch, Griechisch, Englisch, Italienisch, Französisch und Japanisch.

Es deutet alles darauf hin, dass Emotet seine volle Funktionalität als Verbreitungsnetzwerk für viele große Malware-Familien wiedererlangen wird. Besonders interessant ist dabei, dass Emotet sich weiterentwickelt. Wir beobachten es seit Jahren, und es gibt keine Anzeichen dafür, dass es seinen Betrieb einstellt. Es stirbt immer wieder und erwacht zu neuem Leben wie eine Katze mit mehr als neun Leben.“

NL Icon 1
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

Ein umfassender Überblick über die Rückkehr von Emotet im Herbst 2022

Das Volumen der E-Mails, die das Emotet-Botnet jeden Tag zuzustellen versucht, geht in die Hunderttausende. Diese Zahlen sind mit den Durchschnittswerten in der Vergangenheit vergleichbar. Das Emotet-Botnet scheint während seiner Inaktivität keine nennenswerten Spamming-Fähigkeiten verloren zu haben. Zur Verdeutlichung: Die von den Proofpoint-Experten beobachteten Höchstwerte lagen bei Millionen von E-Mails, wobei die letzte derartige Spitze im April 2022 erreicht wurde. Das Diagramm hierunter zeigt das E-Mail-Volumen der letzten fünf Jahre. Die Spitze unten rechts im Diagramm stellt die Aktivitäten im November 2022 dar.

Kampagnen

In den aktuellen Kampagnen nutzt TA542 Thread-Hijacking und verwendet E-Mails in verschiedenen Sprachen. Die Gruppe nutzt weiterhin generische Köder. Am 8. November verwendete Emotet kurzzeitig einen Köder mit dem Thema IRS, der möglicherweise mit den vierteljährlichen Anforderungen der US-Steuerbehörden an Unternehmen zusammenhängt. Es wurden zwar noch keine anderen Köder zu aktuellen Anlässen und Feiertagen beobachtet, aber es ist wahrscheinlich, dass diese bald zum Einsatz kommen werden.

Die Proofpoint-Experten beobachteten Kampagnen an fast jedem Wochentag seit dem 2. November, genauer gesagt an den folgenden Tagen: 2. November, 3. November, 4. November, 7. November, 8. November, 9. November, 10. November und 11. November 2022. Nachdem Emotet über eine Woche lang täglich aktiv war, hat TA542 die Aktivitäten kurzfristig eingestellt. Die Proofpoint-Fachleute gehen davon aus, dass TA542 seine Kampagnen bald wieder aufnehmen wird.

5 Jahre indiziertes Emotet-E-Mail-Volumen
Bild 1: 5 Jahre indiziertes Emotet-E-Mail-Volumen

Zielregionen

TA542 hat es auf eine ähnliche Anzahl von Ländern abgesehen wie vor der Pause. Die folgenden Länder wurden mit einem hohen E-Mail-Aufkommen ins Visier genommen: Vereinigte Staaten, Vereinigtes Königreich, Japan, Deutschland, Italien, Frankreich, Spanien, Mexiko und Brasilien (diese Liste ist nicht vollständig). In diesen Ländern verwendet TA542 die jeweilige Landessprache im E-Mail-Text, im Betreff und in den Dateinamen.

Deutschsprachige Emotet-E-Mail
Bild 2: Deutschsprachige Emotet-E-Mail

Der bösartige Inhalt der E-Mails, die TA542 seit der Rückkehr am 2. November verschickt hat, ist in der Regel ein Excel-Anhang oder ein passwortgeschützter Zip-Anhang mit einer Excel-Datei. Die Excel-Dateien enthalten XL4-Makros, die die Emotet-Payload von mehreren (in der Regel vier) enthaltenen URLs herunterladen.

Es handelt sich um dieselbe Art Excel-Tabellen mit Makros, die die Gruppe vor ihrer Pause verwendet hat. Neu ist, dass die Excel-Datei nun Anweisungen für potenzielle Opfer enthält, die Datei an einen Speicherort für Microsoft Office-Templates zu kopieren und sie von dort aus auszuführen. Dies ist ein vertrauenswürdiger Speicherort, und das Öffnen eines Dokuments in diesem Ordner führt zur sofortigen Ausführung der Makros, ohne dass eine Warnung erfolgt oder eine Interaktion des Benutzers erforderlich ist. Beim Verschieben einer Datei an einen Speicherort für Templates bittet das Betriebssystem den Benutzer um eine Bestätigung und weist darauf hin, dass für eine solche Verschiebung Administratorrechte erforderlich sind.

Es ist aktuell unklar, wie wirksam diese Technik ist. Zwar müssen die Benutzer Makros nicht mehr mit einem zusätzlichen Klick aktivieren, dennoch müssen sie eine Datei verschieben und den Dialog bestätigen. Und der Benutzer muss über Administratorrechte verfügen. Das trifft eher auf Privatrechner als auf Firmenrechner zu.

Weitere Informationen zur jüngsten Emotet-Kampagne finden Sie hier.

www.proofpoint.com

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.