Ist EMOTET wirklich für immer verschwunden?
Diese Frage lässt sich nicht mit Bestimmtheit beantworten. Auch wenn es den Strafverfolgungsbehörden im Januar 2021 gelungen ist, die Kontrolle über die hinter dieser spezifischen Malware liegende Infrastruktur zu übernehmen, besteht immer das Risiko, dass erfolgreiche Bedrohungsmuster in der einen oder anderen Form zurückkehren – und erfolgreich war das EMOTET-Botnet in jedem Fall.
EMOTET im Fokus
Das EMOTET-Botnet hat in den vergangenen Jahren als eine der zerstörerischsten Gefahren für die Unternehmens-IT traurige Berühmtheit erlangt. Wie viele andere Malware-Varianten nutzte auch EMOTET E-Mails, um sich Zugriff auf die jeweils anvisierten Systeme zu verschaffen. Die Spam-/Phishing-E-Mails, die das Botnet der Angreifer (bestehend aus bereits zuvor infizierten Infrastrukturen) an die Opfer versendete, beinhalteten dabei meist einen Word-Anhang oder Hyperlink. Im Falle des Attachments war das Dokument häufig als Rechnung oder zuletzt auch als Datei mit Bezug zu COVID-19 getarnt. Das Öffnen durch den Empfänger ging mit der Aufforderung einher, Makros, die Bearbeitung oder Inhalte zuzulassen. Eine entsprechende Bestätigung durch den Anwender ermöglichte es den Angreifern, den EMOTET-Trojaner bzw. Bot-Client unbemerkt auf dem Computer des Opfers zu installieren. Dadurch wiederum stand der Installation weiterer Malware wie TrickBot oder Qbot – und damit der schnellen Verbreitung auf andere Computer und Server im selben Netzwerk – kaum etwas im Wege.
Mit dem EMOTET-Botnet waren die Drahtzieher dahinter in der Lage, die Rechner der Opfer mit jeglicher Art von Malware zu infizieren und die Ressourcen der Geräte für unterschiedlichste Aufgaben zu missbrauchen – angefangen bei DDoS-Attacken über die Verteilung von Spam und Phishing bis hin zur Übermittlung von bösartigem Datenverkehr. Besonders perfide ist dabei die Tatsache, dass EMOTET auch lukrativ als Malware-Loader an andere Cyberkriminelle verkauft wurde, die auf den betroffenen Geräten wiederum eigene Schadprogramme wie Ransomware einschleusten.
Was geschah am 27. Januar 2021?
Am 27. Januar gelang es den Strafverfolgungsbehörden aus Deutschland, den Niederlanden, USA, Großbritannien, Litauen, Frankreich, der Ukraine und Kanada in einer gemeinschaftlichen Aktion, die Command-and-Control-Infrastruktur, mit der das Botnet gesteuert wurde, auszuhebeln. Nachdem die Kontrolle übernommen wurde, erfolgte die Verteilung eines Moduls zur Deinstallation von EMOTET auf exakt dem gleichen Weg, der zuvor Befehle mit böswilliger Absicht ans Ziel gebracht hatte. Das System wurde mit den eigenen Waffen geschlagen. Durch die Entfernung des Bot-Clients von den Rechnern der Opfer wird die Verbindung zum Botnet gekappt. Ohne eine erneute Infektion haben die Angreifer keine Chance, die Kontrolle zurückzugewinnen. Insgesamt umfasste die Infrastruktur von EMOTET Hunderte von Servern auf der ganzen Welt, die über mannigfaltige Funktionen zur Verwaltung der infizierten Computer verfügten. Ohne die Macht des Gesetzes wäre es den Behörden wahrscheinlich kaum möglich gewesen, Internet Service Provider oder Hosting-Unternehmen dazu zu bringen, ihnen Zugang zu den bösartigen Servern innerhalb der eigenen Reihen zu gewähren.
Von wegen Kavaliersdelikt
Die ukrainische Behörde legte nicht nur Infrastruktur lahm, sondern verhaftete auch zwei Personen, die im Verdacht stehen, am Betrieb der Botnet-Infrastruktur beteiligt gewesen zu sein. Im Falle eines Schuldspruchs drohen ihnen zwölf Jahre Gefängnis. Darüber hinaus wurden weitere Mitglieder einer kriminellen Vereinigung identifiziert, die die Infrastruktur nutzte. Gegen diese wurde ebenfalls Haftbefehl erlassen.
Warnsignal für Unternehmen
Die Zerschlagung der EMOTET-Infrastruktur ist als großer Erfolg zu werten. Durch das Ausschalten des Botnets bleibt der aktuellen EMOTET-Variante kaum eine Möglichkeit, zum normalen Betrieb zurückzukehren. Die Daten von WatchGuard zeigen, dass die Unterbrechung der EMOTET-Infrastruktur zu einem sofortigen Rückgang entsprechender Malware-Kampagnen führte.
Nichtsdestotrotz lehren uns die Erfahrungen aus der Vergangenheit, dass selbst zerstörte Botnets wieder aufleben können. Laut den Analysten von WatchGuard verwenden heute 97 Prozent aller Malware-Varianten polymorphe Techniken in irgendeiner Form. Einige davon sind wohlbekannt, beispielsweise Cryptolocker oder auch die Wannacry-Ransomware. Meist unterscheiden sich solche Gefahren allein durch den Grad der Komplexität und Code-Verschlüsselung. Ausgeklügelte Varianten wie EMOTET können von traditionellen Lösungen zum Schutz der Endpunkte nur schwer erkannt werden. Hinzu kommt, dass viele dieser modernen Malware-Varianten Quellcodes, die im Malware-Untergrund durchaus bekannt sind, teilen. So stammen beispielsweise einige Sequenzen des EMOTET-Codes von früheren Botnet-Varianten, darunter auch der sehr alte Zbot-Quellcode, der bereits vor langer Zeit durchsickerte. Kurz gesagt: Es ist durchaus nicht auszuschließen, dass Botnets in irgendeiner Form zurückkehren – manchmal auch als neue Variante sehr bekannter Vorgänger unter der Kontrolle neuer Drahtzieher.
Daher ist es für Unternehmen durchaus ratsam, in Sachen Sicherheit gezielt nachzurüsten, um künftigen Infektionen ähnlicher Art von Anfang an die Angriffsfläche zu nehmen. In dem Zusammenhang empfiehlt WatchGuard unter anderem, die Mitarbeiter zu schulen, damit diese Phishing-E-Mails besser erkennen. Zudem nehmen WatchGuard-Produkte wie DNSWatch oder netzwerkbasierte Antimalware-Dienste den mit solchen E-Mails einhergehenden Links und Anhängen ein Stück weit den Schrecken.
Am wichtigsten sind jedoch zeitgemäße Sicherheitsvorkehrungen am Endpunkt. Denn einige Bedrohungen finden trotz allem ihren Weg auf die Computer der Mitarbeiter. Umfassende Endpoint-Protection-Lösungen wie Panda Adaptive Defense 360 (AD360) können hier entscheidende Stärken ausspielen. So sorgt beispielsweise das integrierte Patch-Management dafür, dass Betriebssysteme und Software stets auf dem aktuellsten Stand sind, inklusive aller sicherheitsrelevanten Patches. Durch Panda Full Encryption werden zudem die Daten vom Endpunkt verschlüsselt, was es Angreifern erschwert, diese auszulesen. Last but not least verfügt AD360 über viele Ebenen der Malware-Identifikation und -Abwehr, wodurch selbst ausgeklügelte Malware wie EMOTET aufgehalten werden kann.
Wie dies im Detail funktioniert, zeigt das E-Book von WatchGuard.