Emotet galt als einer der gefährlichsten Türöffner für Malware der vergangenen Jahre. Nun wurde die Infrastruktur übernommen und zerschlagen. Was bedeutet das für die IT-Security Branche?
Was ist war Emotet?
Vor sieben Jahren zum ersten Mal identifiziert, war Emotet ein leistungs- und wandlungsfähiger Trojaner mit mächtiger Infrastruktur im Rücken. Durch ihn wurden weltweit mehrere 100.000 Institutionen Opfer erfolgreicher Cyberattacken. Die genaue Anzahl ist schwer zu beziffern, da insbesondere in der Privatwirtschaft nicht selten über erfolgreiche Angriffe geschwiegen wird.
Emotet nutzte infizierte E-Mails als ersten Angriffspunkt auf IT-Infrastrukturen, zum Beispiel über manipulierte Word- und Excel-Anhänge (Makros). Dabei ging der Trojaner zum Teil äußerst intelligent vor, las Kontaktdaten aus, kopierte Adressen und verfasste thematisch passende E-Mails. Somit waren die Nachrichten für unaufmerksame und nicht geschulte Empfänger nur schwer zu erkennen.
Die Erschaffer des Emotet-Trojaners entschieden sich für einen automatisierten Ansatz, der das massenhafte Versenden infizierter E-Mails ermöglichte. So konnten sie ein lukratives Geschäftsmodell etablieren:
Einerseits erpressten sie ihre Opfer durch Verschlüsseln. Andererseits boten sie anderen Cyberkriminellen den Zugriff auf die infizierten Systeme an, um dort Schadsoftware nachzuladen, das Online-Banking auszuspionieren oder Daten abzugreifen. Ihr „Cybercrime-as-a-Service“-Modell war somit ein Türöffner für viele weitere Schadprogramme und kriminelle Aktivitäten.
Zerschlagung durch BSI und Verbündete
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und den Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA Emotet unter ihre Kontrolle gebracht.
Durch einen Einsatz in der Ukraine ist es ihnen über einen Tatverdächtigen gelungen, Zugang zum Server-Netzwerk zu erlangen. In der Folge programmierten sie die Software um, wodurch die Kommunikation zwischen den befallenen Systemen und Emotet unterbrochen werden konnte. So ist es den Sicherheitsbehörden gelungen, die mächtige Infrastruktur von Emotet lahmzulegen.
Sind wir jetzt sicher?
Eine der wichtigsten Infrastrukturen für Cybercrime-Aktivitäten existiert nicht mehr. Das hinterlässt eine große Lücke in der Cybercrime-Szene, die sich nun neu aufstellen und organisieren muss. Dadurch ist die Welt tatsächlich kurzfristig ein kleines Stück sicherer geworden. Die mittelfristige Zukunft der IT-Sicherheit ist dadurch unübersichtlicher geworden. Die Lücke, die Emotet hinterlässt, wird jedoch gefüllt werden.
Emotet hat gelehrt, wie effektiv massenhafte und automatisierte Ansätze sein können. Ein solches Vorgehen ist typisch für die zeitgenössische Cyber-Kriminalität und wird es auch zukünftig sein. Daher gilt: Zu klein für Angriffe gibt es nicht. Es kann Unternehmen und Organisationen jeder Größe treffen.
Beispielhaft steht Emotet dafür, wie Cyberattacken ablaufen können. Die Schadsoftware nistet sich zunächst an einem schwachen und vermeintlich unbedeutenden Punkt in der IT-Infrastruktur ein und beginnt sich von dort auszubreiten. Die neuralgischen und gut gesicherten Punkte werden nicht direkt von außen angegriffen, sondern aus dem Inneren des Netzwerks.
Initiative ergreifen: 4 konkrete Tipps für die Post-Emotet-Zeit
Da sich die Szene neu aufstellen wird und neue Varianten von Schadsoftware folgen werden, gelten die Regeln für mehr IT-Security weiterhin.
- Effektive Erkennung von Cyberattacken und Anomalien in IT-Infrastrukturen und schnelle Isolation betroffener Systeme, sodass sich die Attacke nicht weiter ausbreiten kann. Ermöglichen können das eine Netzwerksegmentierung sowie ein Intrusion Detection und Prevention System. Den höchsten Schutz bietet hier ein Zero-Trust-Ansatz.
- Beschränkung von Nutzer-Rechten, sodass die Attacke gar nicht erst starten kann: zum Beispiel keine Administratorrechte für den alltäglichen Account sowie das Deaktivieren von Makros in Office. Sollten Makros benötigt werden, können nur signierte Makros zugelassen werden.
- Die alltäglichen Aufgaben der IT-Hygiene ernst nehmen: etwa alle IT-Assets überwachen, Sicherheitsupdates einspielen und regelmäßige Backups durchführen, die sicher verwahrt werden.
- Der Schulung der Mitarbeiter eine hohe Priorität einräumen. Werden infizierte E-Mails nicht geöffnet, kann die Attacke nicht starten.
FAQ zu Emotet
Emotet war ein leistungsstarker Trojaner, der als Türöffner für andere Malware diente. Es infizierte E-Mails und nutzte diese als ersten Angriffspunkt auf IT-Infrastrukturen. Emotet konnte Kontaktdaten auslesen, Adressen kopieren und thematisch passende E-Mails verfassen, was es für Empfänger schwierig machte, die infizierten E-Mails zu erkennen.
Die Zerschlagung von Emotet wurde durch eine internationale Zusammenarbeit verschiedener Strafverfolgungsbehörden erreicht. Durch einen Einsatz in der Ukraine gelang es den Behörden, Zugang zum Server-Netzwerk von Emotet zu erlangen und die Software umzuprogrammieren, wodurch die Kommunikation zwischen den infizierten Systemen und Emotet unterbrochen werden konnte.
Obwohl die Zerschlagung von Emotet eine große Lücke in der Cybercrime-Szene hinterlässt, ist die IT-Sicherheit dadurch nicht automatisch gewährleistet. Es ist zu erwarten, dass die Lücke gefüllt wird und neue Varianten von Schadsoftware folgen werden. Daher ist es wichtig, weiterhin wachsam zu sein und geeignete Sicherheitsmaßnahmen zu ergreifen.
