EMOTET-Takedown bringt ermutigende Nachrichten

Cybersecurity-Profis rund um den Globus jubelten über die Zerschlagung des berüchtigten EMOTET-Botnets, an der Strafverfolgungsbehörden in acht verschiedenen Ländern beteiligt waren. Für Cybersicherheitsexperten sind zwei Fragen allerdings immer noch offen: Warum hat der Prozess so lange gedauert und lassen sich derartige Einsätze wiederholen?

Hinter dem „Takedown“ der EMOTET-Infrastruktur stand ein Rahmenwerk, das im Jahr  2010 im Kontext der europäischen multidisziplinären Plattform gegen internationale Bedrohungen (European Multidisciplinary Platform Against Criminal Threats, EMPACT) von den Mitgliedsstaaten der EU für Europol entwickelt wurde. Dieses Rahmenwerk kam in der Vergangenheit bei der Verhaftung grenzüberschreitend aktiver krimineller Gruppierungen zum Einsatz, doch im Kampf gegen die Cyberkriminalität blieben große Erfolge bisher meist aus.

Die Zerschlagung der Schadsoftware wurde von Europol in Zusammenarbeit mit Eurojust, der Agentur für justizielle Zusammenarbeit in Strafsachen innerhalb der EU, koordiniert. An der Takedown-Aktion waren Strafverfolgungsbehörden aus den Niederlanden, Deutschland, den Vereinigten Staaten, dem Vereinigten Königreich, Frankreich, Litauen, Kanada und der Ukraine beteiligt.

Das EMOTET-Botnet erlangte Berühmtheit, weil es mit Malware infizierte Microsoft Word-Dokumente nutzt, um sich Zugang zu PCs zu verschaffen und die Rechenleistung zu nutzen. Die Cyberkriminellen, die das Botnet kontrollierten, vermieteten daraufhin sozusagen das Systemnetzwerk an andere Cyberkriminelle, die daraufhin unter anderem Ransomware-Angriffe durch Nutzung des EMOTET-Botnets durchführten.

Hunderte Server, die auf der ganzen Welt verteilt betrieben wurden, bildeten den Kern des EMOTET-Netzwerks. Laut eigenen Angaben konnten die Strafverfolgungs- und Justizbehörden die Kontrolle über diese Infrastruktur übernehmen und sie so von innen heraus unschädlich machen. Infizierte Geräte werden zu Infrastruktur umgeleitet, die von Strafverfolgungsbehörden verwaltet wird. Im Grunde bedeutet das, dass Cyberkriminelle nicht einfach neue Server einrichten können, um die EMOTET-Schadsoftware erneut in Umlauf zu bringen. Organisationen wird nun nahegelegt, ihre Systeme nach EMOTET-Malware zu durchsuchen und sicherzustellen, dass keine Gefahr für eine zukünftige Kompromittierung besteht.

Im Zusammenhang mit der strafrechtlichen Untersuchung wurde in den Niederlanden eine Datenbank mit E-Mail-Adressen, Benutzernamen und Passwörtern gefunden, die von EMOTET gestohlen wurden. Einzelpersonen und Organisationen können unter überprüfen, ob ihre E-Mail-Adresse kompromittiert wurde. Als Teil der Bemühungen, die Besitzer infizierter Geräte zu benachrichtigen, wurden über das Netzwerk an Computer Emergency Response Teams (CERTs) Informationen global verbreitet.

Was sind die nächsten Schritte nach der Zerschlagung des EMOTET-NETZWERKS?

Es ist denkbar, dass Cyberkriminelle Server in Ländern installieren, in denen seitens der Strafsicherheitsbehörden weniger Bereitschaft zur grenzüberschreitenden Zusammenarbeit besteht. Aus diesem Grund sind die Behörden bestrebt, Organisationen bei der Entfernung von EMOTET-Malware aus ihren Systemen zu unterstützen.

Natürlich ist EMOTET einer der bekanntesten Bots, aber nicht der einzige. Cybersicherheitsexperten sind auch weiterhin stark gefordert, denn auf Command-and-Control-Systemen basierte Bots sind weit verbreitet und entziehen sich der Kontrolle von Behörden wie Europol. Cyberkriminelle könnten sich damit behelfen, kleinere Botnets zu schaffen, die gebündelt und nur bei Bedarf eingesetzt werden.

Cyberangriffe, die über Botnets lanciert werden, verursachen Schäden für die Weltwirtschaft in Billionenhöhe. Trotz dieser Verluste forcieren einige Staatsoberhäupter weiterhin Agenden, die oft auf der Existenz skrupelloser Cyberkrimineller aufbauen. Ziel ist es, Störungen in den Systemen politischer Feinde herbeizuführen und geistiges Eigentum zu stehlen. Das macht die Zerschlagung des EMOTET-Botnetzes nicht weniger zu einem Triumph, aber es macht glasklar, wie groß die Geißel dieser Botnetze wirklich ist.

Mehr dazu erfahren, wie Sie Bots zur Strecke bringen können