Share
Beitragsbild zu Wiederauferstanden von den Toten – Emotet kehrt zurück im Jahr 2022

Wiederauferstanden von den Toten – Emotet kehrt zurück im Jahr 2022

Die Malware Emotet fing 2014 zunächst ganz bescheiden als Banking-Trojaner an. Die Verantwortlichen hinter Emotet gelten als eine der ersten kriminellen Gruppen, die Malware-as-a-Service (MaaS) anbieten. Sie nutzten ihr MaaS erfolgreich, um ein massives Botnetz infizierter Systeme aufzubauen und den Zugang an Dritte zu verkaufen. Dieses Vorgehen erwies sich als so effektiv, dass es schon bald von kriminellen Vereinigungen wie den Ransomware-Gangs Ryuk und Conti übernommen wurde. Emotet hat in der Vergangenheit auch mit Trickbot, bekannt für ihren Trojaner zum Diebstahl von Daten, und Qakbot, einem weiteren bekannten Banking-Trojaner, zusammengearbeitet.

Emotet-Malware: Phishing während der Pandemie

Die Emotet-Gruppe war während der gesamten Pandemie sehr aktiv. In den Jahren 2019 und 2020 sorgten sie für Chaos, indem sie aktuelle Themen ausnutzten, um ahnungslose Opfer zum Öffnen schädlicher Phishing-E-Mails zu bewegen. Zu den Themen gehörten Informationen zum Coronavirus, politische Nachrichten, kontroverse Meinungen und vermeintliche Aktualisierungen zu Maskenvorschriften auf Landes- und Bundesebene.

Dies änderte sich im Januar 2021, als eine interanationale Task Force die Infrastruktur des Emotet-Botnets zerschlug. Die globale Operation wurde von Europol, den Niederlanden und den USA geleitet und insgesamt waren acht Länder an ihr beteiligt.

Ist die Malware Emotet von den Toten auferstanden?

Ransomware-Gruppen, die Millionen Dollar an Gründen haben, um aktiv zu bleiben, sind langfristig nur schwer zu bekämpfen. Die Vergangenheit hat gezeigt, dass Ransomware-Gruppen nie vollständig verschwinden. Auch wenn es nur ihr Quellcode ist, der überlebt.

Historisch gesehen neigen Mitglieder von stillgelegten oder aufgelösten kriminellen Gruppierungen dazu, sich neuen Organisationen anzuschließen. Ransomware-Gruppen sind im Kern Kriminelle, und ihr einziges Ziel ist es, Geld zu verdienen. Das ist bei der Emotet-Gruppe nicht anders. Ersten Berichten zufolge ist Emotet im vierten Quartal 2021 wieder aufgetaucht. Im Februar und März 2022 hat die Gruppe bereits wieder mit Meldungen über massive Phishing-Kampagnen, die auf japanische Unternehmen abzielten, für Aufsehen gesorgt. Weitere große Phishing-Kampagnen, die auf ganz neue Regionen abzielten, machten im April und Mai die Runde.

Eine interessante Beobachtung ist, dass Emotet dabei Unterstützung von einem langjährigen Partner erhält. Die Trickbot-Gruppierung hilft ihnen dabei, sich auf bereits infizierte Rechner zu installieren, um die neuen Emotet-Varianten herunterzuladen. Die Zahl der erfassten Emotet-Fälle stieg im ersten Quartal 2022 im Vergleich zum vierten Quartal 2021 um ganze 2700 %.

Emotet 2022: Neue Methoden und Bedrohungen

Ein Blick auf die neuen Methoden von Emotet im Jahr 2022 zeigt, dass die Verwendung von Microsoft Excel-Makros im Vergleich zum vierten Quartal 2021 um fast 900 % gestiegen ist. Bei den Angriffen in Japan wurden gehijackte E-Mail-Threads verwendet, um die Opfer dazu zu bringen, Makros in angehängten bösartigen Office-Dokumenten zu aktivieren.

Eine sehr beunruhigende Beobachtung dieses „neuen und verbesserten“ Emotet ist seine Effektivität beim Sammeln und Verwenden gestohlener Anmeldeinformationen. Diese Informationen werden dann als Waffe eingesetzt, um die Emotet-Binärdateien weiter zu verbreiten.

Die wichtigsten Erkenntnisse über die Rückkehr von Emotet im Jahr 2022

Forschungsgruppen für Cyber-Bedrohungen, darunter das führende Expertenteam für Bedrohungen von Deep Instinct und HPs Wolf Security, haben folgende Erkenntnisse zusammengetragen:

  • 9% der Bedrohungen waren unbekannte, noch nie zuvor gesehene Bedrohungen
  • 14 % der E-Mail-Malware hat mindestens einen E-Mail-Gateway-Sicherheitsscanner umgangen, bevor sie aufgefangen wurde.
  • 45 % der entdeckten Malware nutzte eine Art von Office-Anhang
  • Die häufigsten Anhänge, die zur Verbreitung von Malware verwendet wurden, waren Spreadsheets (33 %), ausführbare Dateien und Skripte (29 %), Archive (22 %) und Dokumente (11 %).
  • Emotet nutzt inzwischen 64-Bit-Shellcode sowie fortgeschrittenere PowerShell- und aktive Skripte
  • Fast 20 % aller schädlichen Samples nutzten eine Microsoft-Schwachstelle aus dem Jahr 2017 aus (CVE-2017-11882)
Deep Instinct’s Lösung zur Bekämpfung der Emotet-Malware

Emotet ist zwar wieder aufgetaucht und gewinnt an Stärke, nutzt aber immer noch viele der gleichen Angriffsvektoren, die es in der Vergangenheit ausgenutzt hat. Diese Attacken werden jedoch immer fortschrittlicher und umgehen die heutigen Standard-Sicherheitstools, die diese Arten von Angriffen erkennen und herausfiltern.

Aber hier die gute Nachricht: Cybersicherheitsunternehmen wie Deep Instinct haben bereits langjährige Erfahrung in der Vorhersage und Verhinderung dieser Art von Gefahren. Einige der aktuellen Angriffsvektoren sind zwar neu und noch nie dagewesene Bedrohungen, aber Deep Instinct hat nachweislich selbst die neuesten Angriffe von Emotet und anderen raffinierten Hackergruppen bereits verhindert. Das wurde auch kürzlich von der professionellen Hackergruppe Unit221B belegt, die die Deep Learning Lösung auf Herz und Niere getestet haben – und zwar mit Erfolg.

Die Technologien, die zur Abwehr der neusten Angriffe von Emotet verwendet wurden, wurden bereits Monate (und in einigen Fällen sogar Jahre) vor der Entstehung dieser Bedrohungen in der freien Wildbahn entwickelt und eingesetzt.

Hierbei geht es um den präventiven Ansatz, den Unternehmen verfolgen müssen, um Ransomware und andere Malware zu stoppen. Ein speziell entwickeltes Deep-Learning-Framework für Cybersicherheit kann hierbei helfen, da es bekannte, unbekannte und Zero-Day-Bedrohungen in weniger als 20 Millisekunden prognostizieren und verhindern kann. Damit ist es 750-mal schneller als die schnellste Ransomware verschlüsseln kann – und genau das ist es doch was Unternehmen wollen: Den Hackern einen Schritt voraus sein.

Quelle: Deep Instinct Blog

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Was ist bei einem Zero-Click-Angriff zu erwarten?”

Was ist bei einem Zero-Click-Angriff zu erwarten?

Featured image for “Erste Schritte zur Einhaltung des PCI DSS”

Erste Schritte zur Einhaltung des PCI DSS

Featured image for “Kubernetes auf dem Vormarsch”

Kubernetes auf dem Vormarsch

Featured image for “Strategien für eine fortgeschrittene digitale Hygiene”

Strategien für eine fortgeschrittene digitale Hygiene

Featured image for “Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen”

Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen

Studien

Featured image for “Drei Viertel aller DACH-Unternehmen haben jetzt CISOs – nur wird diese Rolle oft noch missverstanden”

Drei Viertel aller DACH-Unternehmen haben jetzt CISOs – nur wird diese Rolle oft noch missverstanden

Featured image for “AI-Security-Report 2024 verdeutlicht: Deutsche Unternehmen sind mit Cybersecurity-Markt überfordert”

AI-Security-Report 2024 verdeutlicht: Deutsche Unternehmen sind mit Cybersecurity-Markt überfordert

Featured image for “Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle”

Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle

Featured image for “Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %”

Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %

Featured image for “Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen”

Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen

Whitepaper

Featured image for “Geopolitische Unruhen führen zu einer DDoS-Angriffswelle”

Geopolitische Unruhen führen zu einer DDoS-Angriffswelle

Featured image for “Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier”

Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier

Featured image for “Schutz von SAP im Zeitalter der Cyber-Gesetzgebung”

Schutz von SAP im Zeitalter der Cyber-Gesetzgebung

Featured image for “Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen”

Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen

Featured image for “IT-Sicherheit in 5G-Campusnetzen”

IT-Sicherheit in 5G-Campusnetzen

Unter4Ohren

Featured image for “Datenklassifizierung: Sicherheit, Konformität und Kontrolle”

Datenklassifizierung: Sicherheit, Konformität und Kontrolle

Featured image for “Die Rolle der KI in der IT-Sicherheit”

Die Rolle der KI in der IT-Sicherheit

Featured image for “CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft”

CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft

Featured image for “WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand”

WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand

Featured image for “KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI”

KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI