Support: +49 (0)209 38642-22        Supportfall melden

Das Ende von Emotet

Ein hoffentlich letztes Mal sorgt die Schadsoftware "Emotet" für Schlagzeilen. In den letzten Jahren hatte sich die Malware zur größten Bedrohung im Internet entwickelt. Millionen PCs wurden infiziert und zum wahrscheinlich größten Bot-Netzwerk der Geschichte zusammengeschlossen, über das weitere Schadsoftware und täglich Millionen von verseuchten Spam-Mails verschickt wurden.

Besonders besorgniserregend war die Vielzahl an bösartigen Programmen wie Banking-Trojanern, Remote-Access-Tools und Erpresser-Software (Ransomware), die mithilfe von Emotet verteilt wurden. Strafverfolgungsbehörden aus den USA, Kanada und Europa führten im Januar einen koordinierten Schlag gegen die Emotet-Infrastruktur aus, bei dem auch sogenannte Command and Control Server beschlagnahmt wurden. Über diese Server wurde anschließend die Update-Funktion der Hacker genutzt, um Emotet auf den infizierten Rechnern zu deaktivieren.

Am 25. April wurden diese Server erneut genutzt, um ein weiteres Update zu verschicken, das die Schadsoftware endgültig von den Systemen der Opfer löscht. Dazu wurde eine Datei (EmotetLoader.dll) verteilt, die alle Dienste, die im Zusammenhang mit Emotet stehen, löschte, Ausführungsschlüssel in der Windows-Registrierung entfernte, damit keine Module mehr automatisch gestartet werden können und alle aktiven Emotet-Prozesse beendete. An der Entwicklung und Verbreitung dieser Datei soll das deutsche Bundeskriminalamt (BKA) maßgeblich beteiligt gewesen sein, was aber nicht offiziell bestätigt wurde.

Ob die Aktion, bei der Strafverfolgungsbehörden ein Botnet nutzten, um Software auf PCs und Server von sowohl Privatpersonen als auch Unternehmen abzulegen, rechtlich einwandfrei war, wird unter Datenschützern diskutiert. Die Opfer, von denen sensible Daten entwendet oder Lösegelder in zum Teil sechsstelliger Höhe für die Freigabe Ihrer Daten gefordert wurden, dürften sicherlich keine Einwände haben. Problematischer ist die Tatsache, dass die Aktion lediglich der Entfernung von Emotet diente. Die Schadsoftware war aber besonders aus dem Grund gefährlich, dass sie eigenständige, bösartige Programme nachlud, die zum Teil von anderen Hackergruppen stammen, deren Infrastruktur weiterhin intakt ist. Auch Viren und Trojaner aus anderen Quellen blieben unbeachtet.

Das FBI hat eine Auflistung der IP-Adressen aller Anschlüsse erstellt, die mit dem Emotet-Botnet kommuniziert haben und hat diese an die entsprechenden Provider verteilt, damit diese Ihre betroffenen Kunden darüber informieren. Wer von seinem Provider eine derartige Benachrichtigung bekommt, sollte sich also nicht in Sicherheit wiegen, sondern umgehend handeln.

Sollen Sie betroffen sein oder allgemeine Zweifel an der Integrität Ihrer IT-Sicherheit haben, melden Sie sich gerne. Wir prüfen Ihre Systeme und erarbeiten mit Ihnen gemeinsam ein auf Sie zugeschnittenes Sicherheit-Konzept.