Emotet etabliert sich als einer der Marktführer für Malware-as-a-Service

Einer der Gründe für das rasante Wachstum der Internetkriminalität ist, dass die Kriminellen an der Spitze der „Nahrungskette“ skalierbare Geschäftsmodelle für ihre Verbrechen entwickelt haben.  Dies ermöglicht erfahrenen Hacker-Gruppen die Zusammenarbeit und neuen Kriminellen die Nutzung der Ressourcen von erfahrenen Hackern.  „Crime-as-a-Service“ ist nichts Neues, aber die Tools ändern sich schnell, da Crimeware-Entwickler daran arbeiten, die neuesten Schwachstellen auszunutzen und der Sicherheit einen Schritt voraus zu sein.  Der Emotet-Banking-Trojaner hat sich zu einem führenden Anbieter von Malware-Lieferdiensten für andere Hackergruppen entwickelt, und Sie sollten sicherstellen, dass Sie diese Bedrohung verstehen und sich dagegen wehren.

Die Evolution von Emotet

Angriffe auf Banken sind gelegentlich kollaborativ, doch Banking-Trojaner bieten Drittangreifern in der Regel keine Dienste an.  Emotet befindet sich seit seiner Entdeckung als Banking-Trojaner im Jahr 2014 in ständiger Entwicklung.  Die Entwickler haben neue Umgehungsmöglichkeiten, neue Zustellungsmethoden und Verbesserungen an seiner Kernfunktion, dem Datendiebstahl, hinzugefügt.  Der langfristige Erfolg dieser Malware deutet darauf hin, dass sie von einer hochentwickelten kriminellen Organisation betrieben wird, was mit den jüngsten Erkenntnissen übereinstimmt, dass das organisierte Verbrechen für die Mehrheit der Datenschutzverletzungen verantwortlich ist.  Hier sind einige Highlights im Leben von Emotet :

2014

Emotet tauchte zunächst als modulare Malware auf, die darauf ausgelegt war, Bankdaten zu stehlen und vertrauliche Informationen von einzelnen End Points zu exfiltrieren. Zu seinen nennenswerten Fähigkeiten zählten die Umgehung der Multi-Faktor-Authentifizierung (MFA) und die Infizierung anderer Systeme durch sein wurmartiges Verhalten.

2015

Es wurden neue Umgehungsfunktionen hinzugefügt, mit denen Emotet das Vorhandensein einer virtuellen Maschine erkennen kann.  Die MFA-Umgehung wurde verbessert und neue Banking-Funktionen wurden hinzugefügt, die es Emotet ermöglichen, Gelder vom Opfer an den Angreifer zu überweisen.

2017

Es wurde beobachtet, wie Emotet auf mehrere Sektoren außerhalb des Banking-Bereichs abzielte.  Zu den neuen Funktionen gehörten neue Anti-Analyse-Techniken und eine Windows-API-Komponente, die die Erkennung erschwert. 

2018

Die Entwickler von Emotet fügen Funktionen hinzu, um E-Mail-Inhalte und Kontaktlisten zu stehlen, und damit Emotet sich selbst verbreitet, um geschützte Systeme zu infizieren und andere Malware zu zu verschicken. 

Emotet verbindet sich mit einem Command-and-Control-Server (C2), sodass die infizierten Computer Teil des Emotet-Botnetzes werden.  Erwähnenswert ist hier, dass sich „Emotet“ sowohl auf die Malware als auch auf die kriminelle Organisation bezieht, die die Malware entwickelt und diese Server kontrolliert.  Die Emotet-Gruppe verwendet die C2-Server, um neue Malware zu installieren, infizierte Computer fernzusteuern und gestohlene Informationen an den Angreifer zurückzusenden.  Die Emotet-Infrastruktur ermöglicht es anderen Hacker-Gruppen, Zugang zu Emotet-infizierten Rechnern zu erwerben.  Auf diese Weise fungiert Emotet als Malware-as-a-Service (MaaS) für die Verbreitung der Malware von Dritten.

Emotet heute

Emotet verwendet Markenimitation und Spear-Phishing-E-Mails, um Opfer dazu zu bringen, zu denken, dass eine E-Mail von einer vertrauenswürdigen Quelle stammt.  Die E-Mail verfügt entweder über einen bösartigen Anhang oder enthält einen Link zu einer kompromittierten Website.  Sobald der Anhang oder Link ausgeführt wird, beginnt Emotet mit dem Herunterladen auf den Computer des Opfers.  Wenn der Angriff beginnt, versucht Emotet, sich seitlich über das Netzwerk zu verteilen, wobei er sowohl kabelgebundene als auch WLAN-Verbindungen nutzt, um dies zu tun.   

Das US-Heimatschutzministerium veröffentlichte eine Warnung zu dieser Bedrohung, die den Angriff detailliert beschreibt und die Öffentlichkeit warnt:

„Emotet gehört nach wie vor zu den teuersten und zerstörerischsten Malware, die SLTT-Regierungen betrifft. Seine wurmartigen Eigenschaften führen zu einer sich schnell ausbreitenden Netzwerk-weiten Infektion, die schwer zu bekämpfen ist. Die Beseitigung von Emotet-Infektionen hat SLTT-Regierungen bis zu 1 Million Dollar pro Vorfall gekostet.“

Ein erfolgreicher Emotet-Angriff kann sensible Informationen offenlegen, Ihren Geschäftsbetrieb unterbrechen und Ihre Markenreputation schädigen.  Ausfallzeiten und Wiederherstellungskosten können verheerend sein.  Allentown (PA) gab 1 Million US-Dollar aus, um sich von einem Emotet-Angriff im Jahr 2018 zu erholen.  Weitere bemerkenswerte Opfer sind eine große öffentliche Bibliothek und die Stadt Quincy (MA). 

Wie Sie sich schützen können

Da Emotet über mehrere Angriffsmöglichkeiten verfügt, benötigen Sie mehrere Sicherheitsebenen, um Ihr Netzwerk vollständig zu verteidigen.  Hier sind einige Tipps, die Ihnen den Einstieg erleichtern sollen:

• Halten Sie Ihre Anti-Malware-Software für Endgeräte auf dem neuesten Stand und wenden Sie Updates und Patches sofort nach Erscheinen an.


• Implementieren Sie einen E-Mail-Schutz, um verdächtige Dateianhänge sowie Indikatoren wie bekannte URLs, Betreffzeilen und IP-Adressen zu blockieren.


• Verwenden Sie ein Web Security Gateway, das Ihr Netzwerk vor eingehender Malware schützt.


• Sichern Sie WLAN-Verbindungen und verwenden Sie das Konzept des Zugangs mit den geringsten nötigen Berechtigungen, um Netzwerkfreigaben so weit wie möglich zu schützen.


• Bieten Sie Ihren Netzwerk-Benutzern Schulungsunterlagen für das Sicherheitsbewusstsein an.

Weitere Informationen darüber, wie Sie Ihr Netzwerk vor Bedrohungen wie Emotet schützen können, finden Sie unter www.barracuda.com.

Holen Sie sich jetzt Ihr kostenloses E-Book.