Share
Beitragsbild zu Wiederauferstanden von den Toten – Emotet kehrt zurück im Jahr 2022

Wiederauferstanden von den Toten – Emotet kehrt zurück im Jahr 2022

Die Malware Emotet fing 2014 zunächst ganz bescheiden als Banking-Trojaner an. Die Verantwortlichen hinter Emotet gelten als eine der ersten kriminellen Gruppen, die Malware-as-a-Service (MaaS) anbieten. Sie nutzten ihr MaaS erfolgreich, um ein massives Botnetz infizierter Systeme aufzubauen und den Zugang an Dritte zu verkaufen. Dieses Vorgehen erwies sich als so effektiv, dass es schon bald von kriminellen Vereinigungen wie den Ransomware-Gangs Ryuk und Conti übernommen wurde. Emotet hat in der Vergangenheit auch mit Trickbot, bekannt für ihren Trojaner zum Diebstahl von Daten, und Qakbot, einem weiteren bekannten Banking-Trojaner, zusammengearbeitet.

Emotet-Malware: Phishing während der Pandemie

Die Emotet-Gruppe war während der gesamten Pandemie sehr aktiv. In den Jahren 2019 und 2020 sorgten sie für Chaos, indem sie aktuelle Themen ausnutzten, um ahnungslose Opfer zum Öffnen schädlicher Phishing-E-Mails zu bewegen. Zu den Themen gehörten Informationen zum Coronavirus, politische Nachrichten, kontroverse Meinungen und vermeintliche Aktualisierungen zu Maskenvorschriften auf Landes- und Bundesebene.

Dies änderte sich im Januar 2021, als eine interanationale Task Force die Infrastruktur des Emotet-Botnets zerschlug. Die globale Operation wurde von Europol, den Niederlanden und den USA geleitet und insgesamt waren acht Länder an ihr beteiligt.

Ist die Malware Emotet von den Toten auferstanden?

Ransomware-Gruppen, die Millionen Dollar an Gründen haben, um aktiv zu bleiben, sind langfristig nur schwer zu bekämpfen. Die Vergangenheit hat gezeigt, dass Ransomware-Gruppen nie vollständig verschwinden. Auch wenn es nur ihr Quellcode ist, der überlebt.

Historisch gesehen neigen Mitglieder von stillgelegten oder aufgelösten kriminellen Gruppierungen dazu, sich neuen Organisationen anzuschließen. Ransomware-Gruppen sind im Kern Kriminelle, und ihr einziges Ziel ist es, Geld zu verdienen. Das ist bei der Emotet-Gruppe nicht anders. Ersten Berichten zufolge ist Emotet im vierten Quartal 2021 wieder aufgetaucht. Im Februar und März 2022 hat die Gruppe bereits wieder mit Meldungen über massive Phishing-Kampagnen, die auf japanische Unternehmen abzielten, für Aufsehen gesorgt. Weitere große Phishing-Kampagnen, die auf ganz neue Regionen abzielten, machten im April und Mai die Runde.

Eine interessante Beobachtung ist, dass Emotet dabei Unterstützung von einem langjährigen Partner erhält. Die Trickbot-Gruppierung hilft ihnen dabei, sich auf bereits infizierte Rechner zu installieren, um die neuen Emotet-Varianten herunterzuladen. Die Zahl der erfassten Emotet-Fälle stieg im ersten Quartal 2022 im Vergleich zum vierten Quartal 2021 um ganze 2700 %.

Emotet 2022: Neue Methoden und Bedrohungen

Ein Blick auf die neuen Methoden von Emotet im Jahr 2022 zeigt, dass die Verwendung von Microsoft Excel-Makros im Vergleich zum vierten Quartal 2021 um fast 900 % gestiegen ist. Bei den Angriffen in Japan wurden gehijackte E-Mail-Threads verwendet, um die Opfer dazu zu bringen, Makros in angehängten bösartigen Office-Dokumenten zu aktivieren.

Eine sehr beunruhigende Beobachtung dieses „neuen und verbesserten“ Emotet ist seine Effektivität beim Sammeln und Verwenden gestohlener Anmeldeinformationen. Diese Informationen werden dann als Waffe eingesetzt, um die Emotet-Binärdateien weiter zu verbreiten.

Die wichtigsten Erkenntnisse über die Rückkehr von Emotet im Jahr 2022

Forschungsgruppen für Cyber-Bedrohungen, darunter das führende Expertenteam für Bedrohungen von Deep Instinct und HPs Wolf Security, haben folgende Erkenntnisse zusammengetragen:

  • 9% der Bedrohungen waren unbekannte, noch nie zuvor gesehene Bedrohungen
  • 14 % der E-Mail-Malware hat mindestens einen E-Mail-Gateway-Sicherheitsscanner umgangen, bevor sie aufgefangen wurde.
  • 45 % der entdeckten Malware nutzte eine Art von Office-Anhang
  • Die häufigsten Anhänge, die zur Verbreitung von Malware verwendet wurden, waren Spreadsheets (33 %), ausführbare Dateien und Skripte (29 %), Archive (22 %) und Dokumente (11 %).
  • Emotet nutzt inzwischen 64-Bit-Shellcode sowie fortgeschrittenere PowerShell- und aktive Skripte
  • Fast 20 % aller schädlichen Samples nutzten eine Microsoft-Schwachstelle aus dem Jahr 2017 aus (CVE-2017-11882)
Deep Instinct’s Lösung zur Bekämpfung der Emotet-Malware

Emotet ist zwar wieder aufgetaucht und gewinnt an Stärke, nutzt aber immer noch viele der gleichen Angriffsvektoren, die es in der Vergangenheit ausgenutzt hat. Diese Attacken werden jedoch immer fortschrittlicher und umgehen die heutigen Standard-Sicherheitstools, die diese Arten von Angriffen erkennen und herausfiltern.

Aber hier die gute Nachricht: Cybersicherheitsunternehmen wie Deep Instinct haben bereits langjährige Erfahrung in der Vorhersage und Verhinderung dieser Art von Gefahren. Einige der aktuellen Angriffsvektoren sind zwar neu und noch nie dagewesene Bedrohungen, aber Deep Instinct hat nachweislich selbst die neuesten Angriffe von Emotet und anderen raffinierten Hackergruppen bereits verhindert. Das wurde auch kürzlich von der professionellen Hackergruppe Unit221B belegt, die die Deep Learning Lösung auf Herz und Niere getestet haben – und zwar mit Erfolg.

Die Technologien, die zur Abwehr der neusten Angriffe von Emotet verwendet wurden, wurden bereits Monate (und in einigen Fällen sogar Jahre) vor der Entstehung dieser Bedrohungen in der freien Wildbahn entwickelt und eingesetzt.

Hierbei geht es um den präventiven Ansatz, den Unternehmen verfolgen müssen, um Ransomware und andere Malware zu stoppen. Ein speziell entwickeltes Deep-Learning-Framework für Cybersicherheit kann hierbei helfen, da es bekannte, unbekannte und Zero-Day-Bedrohungen in weniger als 20 Millisekunden prognostizieren und verhindern kann. Damit ist es 750-mal schneller als die schnellste Ransomware verschlüsseln kann – und genau das ist es doch was Unternehmen wollen: Den Hackern einen Schritt voraus sein.

Quelle: Deep Instinct Blog

 

Deep Instinct