Sicherheitsexperten haben knapp ein Jahr nach einem großen Schlag gegen das äußerst gefährliche Cyberware-Netzwerk Emotet die vermeintlich ausgerottete Schadsoftware wieder entdeckt.
«Es riecht wie Emotet, sieht aus wie Emotet, verhält sich wie Emotet – scheint Emotet zu sein», lautet das Fazit eines Reports der IT-Sicherheitsexperten von G Data. Das Bochumer Unternehmen hatte die Behörden bei der Abschaltung mit technischen Analysen unterstützt.
Im Januar hatte Europol noch verkündet, die Infrastruktur des – vor allem vom organisierten Verbrechen genutzten – Systems Emotet sei unter Kontrolle. An dem mehr als zwei Jahre dauernden Einsatz unter deutscher und niederländischer Leitung waren Ermittler aus acht Ländern beteiligt. Tatsächlich wurden danach keine weiteren Emotet-Schadfälle bekannt.
Die Systeme von G Data registrierten bei einem Kunden am Sonntagabend die Schadsoftware TrickBot, die wiederum eine weitere Malware nachgeladen habe. Diese sei als Emotet erkannt worden. Experten anderer Sicherheitsfirmen bestätigten die G-Data-Analysen.
Emotet war 2014 als sogenannter Trojaner aufgetaucht. «Die Emotet-Infrastruktur funktionierte im Kern wie ein erster Türöffner in Computer-Systeme auf weltweiter Ebene», beschrieb Europol die Funktionsweise.
In Deutschland waren außer Computern von Zehntausenden Privatleuten auch viele IT-Systeme von Unternehmen, Behörden und Institutionen infiziert worden. Dazu gehörten das Klinikum Fürth, das Kammergericht Berlin, die Bundesanstalt für Immobilienaufgaben und auch die Stadt Frankfurt am Main.
Über ein Word-Dokument, häufig getarnt als harmloser Anhang einer E-Mail oder auch als Link, wurde in das System eingebrochen. Sobald der illegale Zugang gelungen war, wurde dieser an Cyber-Kriminelle verkauft. Diese konnten wiederum eigene Trojaner einschleusen, um etwa an Bank-Daten zu gelangen, erbeutete Daten weiterzuverkaufen oder aber Lösegeld für blockierte Daten zu erpressen.
Die Malware war etwa versteckt in gefälschten Rechnungen, Lieferankündigungen oder angeblichen Informationen über Covid-19. Wenn der Nutzer aber auf den Link klickte oder den Anhang öffnete, installierte sich die Malware selbst und verbreitete sich rasend schnell.
Rüdiger Trost, Experte der Firma F-Secure sagte, die Herausforderungen für Unternehmen änderten sich strukturell nicht durch das neuerliche Auftauchen von Emotet. «Aber die Höhe des Cybersecurity-Risikos für Unternehmen steigt, wenn diese Malware-Familie wieder verstärkt auftritt.»