Manchmal mag es den Anschein haben, dass sich die Ransomware-Epidemie verschlimmert. Gelegentlich gibt es aber auch positive Nachrichten.Ende Januar 2021 gipfelte die jahrelange Arbeit der Strafverfolgungsbehörden in der Stilllegung von Emotet, einer der weltweit größten Malware-as-a-Service (MaaS)-Betriebe. Eine gemeinsame Task Force, mit Polizisten aus den Niederlanden, Deutschland, den Vereinigten Staaten, dem Vereinigten Königreich, Frankreich, Litauen, Kanada und der Ukraine im Einsatz, übernahm die Kontrolle über mehrere Server und konnte eine Reihe von Verhaftungen vornehmen.
Insgesamt hat die Polizei über 700 Botnet-Server geschlossen. Dies war die größte Operation ihrer Art in der Geschichte. Die Schließungen werden zu einer willkommene Entspannung führen – im 3. Quartal 2020 stiegen die Angriffe, die mit dem Emotet-Botnet durchgeführt wurden, um über 1200% an. Die ukrainischen Behörden schätzten den durch Emotet verursachten Schaden auf über 2,5 Milliarden US-Dollar. Insgesamt gehen Experten davon aus, dass Emotet mehr als 1,2 Millionen Computer infiziert hat.
Das ist eine wichtige Entwicklung, welche das ganze Cyberkriminalität-Netzwerk beeinflusst, einschließlich Ransomware-Banden. Denn viele Hacker haben Emotet bei Ransomware Attacken verwendet. Um zu verstehen, was das Ende von Emotet bedeutet, werden ein paar Hintergrundinformationen über Emotet und die Rolle, die Emotet für Cyberkriminelle weltweit gespielt hat, benötigt.
Der Modus Operandi von Emotet
Emotet begann zunächst als Trojaner, der zum Diebstahl von Bankanmeldeinformationen entwickelt wurde. Die agierenden Hacker hatten beim Eindringen in fremde Systeme einen derart großen Erfolg, dass sie beschlossen, ihre Dienste anderen Hackern anzubieten. Ihr Virus wurde führend. Ein Loader ist eine Art Virus, der sich auf die Bereitstellung anderer Arten von Malware spezialisiert hat. Die bekanntesten Nutzlasten von Emotet sind Trickster, ein Trojaner, der Bankdaten stiehlt, und Ryuk, eine gängige Ransomware-Variante.
Emotet verbrachte Jahre damit, ein umfangreiches Netzwerk infizierter Computer aufzubauen. Ein solches Netzwerk wird Botnet genannt. Mit anderen Worten: eine Armee infizierter Computer. Die Bande hatte den Zugang zu diesem Botnetz an andere Banden vermietet, was es allen Arten von Hackern erleichterte, weltweit in Netzwerke einzudringen.
Eine der Hauptaufgaben dieses Botnetzes war die Verteilung infizierter E-Mails. Emotet war Vorreiter der Technik, kompromittierte Word-Dokumente in E-Mails einzubetten. Einige E-Mails wurden als Spam gesendet, aber in einigen Fällen waren die E-Mails getarnt. Sie erschienen als legitime Antworten von bekannten Kontakten. Wenn das Opfer das Word-Dokument geöffnet hat, wurde der Lader in das System injiziert und öffnete den Weg zur Lieferung der Nutzlast.
Es sind jedoch nicht alle Nutzlasten bösartig. Ein gutes Beispiel für ethisches Hacking haben Strafverfolgungsbehörden, die an der Schließung von Emotet beteiligt waren, gezeigt. Sie hatten Emotet eingesetzt, um infizierte Server zu bereinigen. Dabei haben die Verfolger die Kontrolle über das Botnetz übernommen und einen Trojaner an alle infizierten Systeme gesendet. Aber anstelle von Malware war die Nutzlast ein Programm, das die Erpressungstrojaner dauerhaft von den Computern der Opfer deinstallierte.
Die Auswirkungen des Endes von Emotet auf Ransomware
Auf den ersten Blick scheint die Zerstörung des gefährlichsten Botnetzes der Welt eine positive Entwicklung zu sein. Die Effektivität einer Vielzahl böswilliger Akteure wurde drastisch reduziert, und die Anzahl sowie Schwere der Angriffe konnte vermindert werden.
Es ist jedoch sicher, dass andere Hacker einspringen werden, um diese Lücke zu füllen. Dies könnte allerdings einige Zeit dauern, da viele der infizierten Computer im Botnetz von Emotet möglicherweise vor Jahren infiziert wurden, bereits bevor neuere Sicherheitspatches vorhanden waren. Es gibt jetzt schon Hinweise darauf, dass Ryuk ein anderes Programm mit dem Namen Buer verwendet.
Ein möglicher Nachteil des Takedowns ist, dass Hacker, die Emotet für die Ransomware-Bereitstellung verwenden, dieses durch ausgefeiltere Software ersetzen. Zum Beispiel wird angenommen, dass Buer effektivere Methoden hat, um eine Erkennung zu verhindern. Jetzt, da es auf dem Markt Platz für Newcomer gibt, können wir leistungsfähigere Botnets sehen. Die von Hackern verwendeten Techniken wurden in den letzten Jahren erheblich verbessert. Wer auch immer versucht, Emotets Platz einzunehmen, wird das benötigte Know-How zur Verfügung haben.
Größere Botnets könnten für Ransomware-Angreifer, welche nach Malware-as-a-Service-Anbietern suchen, niedrigere Preise bedeuten. Im vergangenen Jahr haben wir eine allmähliche Verlagerung hin zu größeren Spear-Phishing-Angriffen gesehen. Wenn ein größeres, billigeres und effektiveres Botnetz entsteht, könnten wir vermehrt Spam-E-Mails beobachten, die auf kleinere Nutzer abzielen.
Es ist jeodch unwahrscheinlich, dass sich diese Entwicklung auf die Anzahl größerer Angriffe auswirken wird. In der Regel stehen hinter hochkarätigen Angriffen spezialisierte Teams, welche einzigartige Angriffspläne für jedes Ziel entwickeln. Bei diesen Angriffen muss ein höheres Sicherheitsniveau überwunden werden, was ausgefeiltere Methoden erfordert. Wenn Sie mehr über Spear-Phishing-Angriffe erfahren möchten, können Sie hier weitere Berichte lesen.
So schützen Sie sich vor dem Nachfolger von Emotet
Obwohl es kurzfristig weniger Cyberangriffe geben könnte, bedeutet das nicht, dass Sie Ihre Wachsamkeit ablegen sollten. Die Nachfolger von Emotet werden das entstandene Vakuum füllen. Sobald Cyberkriminelle in der Lage sein werden, neue und verbesserte Botnetze aufzubauen, werden wir wahrscheinlich eine Welle von Ransomware Angriffen erleben.
Buer zum Beispiel verwendet eine Taktik, die den infizierten Dokumenten von Emotet ähnelt. Wie Emotet verwendet die aufstrebende MaaS-Operation, Dokumente, um sich zu verbreiten. Buer hat sich über Microsoft Word hinaus um Google Docs erweitert. In den meisten Fällen wird dies als Link in einer E-Mail angezeigt. Die E-Mail-Nachricht kann ein gewöhnlicher Spam oder eine scheinbar legitime Benachrichtigung sein.
Der Link führt das Opfer zu einem Dokument, das eine Eingabeaufforderung auslöst. In der Eingabeaufforderung wird das Opfer aufgefordert, Skripts zu aktivieren, um das Dokument anzuzeigen. Wenn sie akzeptieren, wird der Lader injiziert. Dies ist eine clevere neue Variante eines alten Tricks. Es zeigt auf, wie wichtig regelmäßige Anti-Phishing-Sensibilisierungs- und Schulungsveranstaltungen sind. Unserer Erfahrung nach handelt es sich bei der überwiegenden Mehrheit der Ransomware-Angriffe, insbesondere bei größeren Angriffen, um Phishing.
Wir haben einen kleinen Rückgang der Ransomware-Fälle festgestellt, nachdem Emotet heruntergefahren wurde. Insgesamt aber nehmen die Angriffe immer noch zu. Es ist eine gute Investition, zusätzliche Ressourcen für die Cybersicherheit einzusetzen, auch wenn es schmerzt, derart viel Geld und Zeit für solche Fragen zu investieren. Langfristig wird sich die zusätzlich investierte Zeit bestimmt lohnen.
Stellen Sie immer sicher, dass Sie die neueste Antivirensoftware verwenden, und bleiben Sie in Bezug auf Updates und Patches auf dem Laufenden. Wenn Sie von Ransomware betroffen sind, können Sie uns jederzeit für eine kostenlose Beratung zur Ransomware-Datenrettung kontaktieren, und mehr über Ihre Möglichkeiten erfahren. Wir bieten auch Beratung nach Angriffen an, um die Wahrscheinlichkeit einer erneuten Infektion mit schädigenden Viren zu minimieren.