Im Januar hatte Europol noch verkündet, die Infrastruktur des Cyberware-Netzwerks Emotet sei unter Kontrolle. Nun ist die Schadsoftware wieder aufgetaucht.
Bochum - Sicherheitsexperten haben knapp ein Jahr nach einem großen Schlag gegen das äußerst gefährliche Cyberware-Netzwerk Emotet die vermeintlich ausgerottete Schadsoftware wieder entdeckt. „Es riecht wie Emotet, sieht aus wie Emotet, verhält sich wie Emotet - scheint Emotet zu sein“, lautet das Fazit eines Reports der IT-Sicherheitsexperten von G Data. Das Bochumer Unternehmen hatte die Behörden bei der Abschaltung mit technischen Analysen unterstützt.
Im Januar hatte Europol noch verkündet, die Infrastruktur des - vor allem vom organisierten Verbrechen genutzten - Systems Emotet sei unter Kontrolle. An dem mehr als zwei Jahre dauernden Einsatz unter deutscher und niederländischer Leitung waren Ermittler aus acht Ländern beteiligt. Tatsächlich wurden danach keine weiteren Emotet-Schadfälle bekannt.
Die Systeme von G Data registrierten bei einem Kunden am Sonntagabend die Schadsoftware TrickBot, die wiederum eine weitere Malware nachgeladen habe. Diese sei als Emotet erkannt worden. Experten anderer Sicherheitsfirmen bestätigten die G-Data-Analysen.
Emotet war 2014 als sogenannter Trojaner aufgetaucht. „Die Emotet-Infrastruktur funktionierte im Kern wie ein erster Türöffner in Computer-Systeme auf weltweiter Ebene“, beschrieb Europol die Funktionsweise. In Deutschland waren außer Computern von Zehntausenden Privatleuten auch viele IT-Systeme von Unternehmen, Behörden und Institutionen infiziert worden. Dazu gehörten das Klinikum Fürth, das Kammergericht Berlin, die Bundesanstalt für Immobilienaufgaben und auch die Stadt Frankfurt am Main.
Über ein Word-Dokument, häufig getarnt als harmloser Anhang einer E-Mail oder auch als Link, wurde in das System eingebrochen. Sobald der illegale Zugang gelungen war, wurde dieser an Cyber-Kriminelle verkauft. Diese konnten wiederum eigene Trojaner einschleusen, um etwa an Bank-Daten zu gelangen, erbeutete Daten weiterzuverkaufen oder aber Lösegeld für blockierte Daten zu erpressen.
Die Malware war etwa versteckt in gefälschten Rechnungen, Lieferankündigungen oder angeblichen Informationen über Covid-19. Wenn der Nutzer aber auf den Link klickte oder den Anhang öffnete, installierte sich die Malware selbst und verbreitete sich rasend schnell. Rüdiger Trost, Experte der Firma F-Secure sagte, die Herausforderungen für Unternehmen änderten sich strukturell nicht durch das neuerliche Auftauchen von Emotet. „Aber die Höhe des Cybersecurity-Risikos für Unternehmen steigt, wenn diese Malware-Familie wieder verstärkt auftritt.“
