Emotet-Malware:BSI warnt vor "gefährlichster Schadsoftware der Welt"

Lesezeit: 3 Min.

Hacker bei der Arbeit. (Symbolbild) (Foto: Science Photo Library/Imago)
  • Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer neuen Angriffswelle der Schadsoftware Emotet.
  • 2014 als Banking-Trojaner gestartet, kann Emotet heute beliebig Software nachladen, zum Beispiel Ransomware.
  • Eine aktuelle Verbreitungskampagne per E-Mail gaukelt den Opfern vor, im Anhang befände sich die Autobiographie des NSA-Whistleblowers Edward Snowden. Stattdessen lauert dort der Schadcode.

Von Max Muth

Auch Cyberkriminelle machen Sommerpause - nachdem die gefährliche Schadsoftware Emotet in den vergangenen Wochen fast vollständig von der Bildfläche verschwunden war, berichten Cybersicherheitsexperten seit ein paar Tagen wieder von neuen Angriffen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt jetzt vor dem Schadprogramm, das reihenweise Computer in Deutschland befällt. Emotet nistet sich in den Rechnern der Opfer ein und verwendet ihre Kontakte, um sich weiterzuverbreiten. Außerdem kann Emotet über seine Kontrollserver weitere Programme nachladen, etwa Ransomware oder Banking-Trojaner.

Offenbar verbreitet sich die Software derzeit auf mindestens zwei verschiedenen Wegen. In der einen Variante klinkt sich Emotet mit Phishing-Mails in ältere E-Mail-Konversationen ein. Dabei werden meist Absender vorgetäuscht, die tatsächlich mit den Opfern bekannt sind. Erst bei genauerem Hinsehen wird deutlich, dass zwar der Name des Absenders der eines Arbeitskollegen ist, die eigentliche E-Mail-Adresse des Absenders aber gar nicht dazu passt.

Snowden-Autobiographie als Köder

Eine zweite, neue Taktik der Emotet-Hintermänner nutzt jetzt die Veröffentlichung der Autobiografie von NSA-Whistleblower Edward Snowden als Köder. Die IT-Sicherheitsfirma Malwarebytes veröffentlichte mehrere Screenshots der Phishing-Mails. Auf einer heißt es in holprigem Deutsch "Dies ist das Buch, das die Regierung nicht lesen möchte". Im Anhang befindet sich das vermeintliche Buch in einer Word-Datei. Tatsächlich verbirgt sich dahinter der Schadcode.

Wer neugierig genug ist, den Anhang zu öffnen, wird im nächsten Schritt aufgefordert, Makros zu aktivieren, um den Inhalt anzuzeigen. Das sollte auf jeden Fall unterlassen werden. Denn erst mithilfe der Makro-Funktion kann der Schädling auf dem Rechner Programmcode ausführen und sich einnisten.

Emotet ist eine der berüchtigtsten Schadsoftwares der vergangenen Jahre. Entdeckt wurde sie 2014. Damals wurde Emotet in erster Linie als Banking-Trojaner verwendet. Einmal von ahnungslosen Kunden installiert, legte sich die Software im betroffenen Computer auf die Lauer, bis die Nutzer Banking-Software nutzten oder eine Online-Banking-Seite ansteuerten. Dann stahl das Programm die Zugangsdaten zum Konto. Bis heute wurde der Trojaner mehrfach weiterentwickelt, mittlerweile können Cyberkriminelle über Emotet weitere Schadsoftware auf die infizierten Rechner nachladen, darunter den Banking-Trojaner Trickbot oder Ransomware wie Ryuk, die Dateien verschlüsselt, und Lösegeld fordert, um die Dateien wieder verwendbar zu machen.

Der Trojaner kann beliebig Software nachladen

Diese Fähigkeit, via Emotet zerstörerische Module wie Ransomware nachzuladen, sei die größte Gefahr an der Malware, sagt Helge Husemann von der IT-Sicherheitsfirma Malwarebytes. Zudem sei das Schadprogramm hartnäckig. "Um Emotet aus einer Firma mit 450 Computern zu entfernen, müssen alle Maschinen gleichzeitig online gehen, in Quarantäne gesteckt werden und ein System nach dem anderen gesäubert werden." Der Aufwand erklärt auch, warum es schnell kostspielig werden kann, Emotet wieder loszuwerden. Die Stadtverwaltung von Allentown in Pennsylvania musste nach einer Emotet-Infektion 2018 mehr als eine Million Dollar ausgeben, um ihre Systeme zu säubern. Auch deutschen Stadtverwaltungen wurden schon zu Opfern, jüngst etwa Neustadt bei Hannover. Die Stadt konnte nach einem Befall Anfang September Dienstleistungen wie die Kfz-Zulassung zunächst nicht mehr anbieten.

Die Fachleute von Malwarebytes analysieren die Verbindungen zwischen infizierten Maschinen und den Kontrollservern der Trojaner-Software seit Monaten. Über diese Server können die Hintermänner von Emotet die von der Schadsoftware befallenen Rechner fernsteuern. Den ganzen Sommer über beobachteten die Malwarebytes-Experten eigenen Angaben zufolge wenig Informationsaustausch. Dann, etwa am 12. September, verdreifachte sich die Zahl der Verbindungen zwischen dem Botnet und den Kommandoservern schlagartig. Eine Woche später rollte eine neue Emotet-Welle an. Dass die Kampagnen wellenartig verlaufen, beobachten Experten bereits seit längerem. Sie werden so lange weitergeführt, bis sich die Opfer darauf eingestellt haben und die Zahl der Infektionen deutlich zurück geht. Dann ziehen sich die Macher zurück, um das Programm und die Phishing-Methoden weiterzuentwickeln und später mit einer neuen Version zuzuschlagen.

Das BSI hatte die Software schon Ende 2018 als "weltweit gefährlichste Schadsoftware" bezeichnet. Leicht genervt liest sich in diesem Zusammenhang der Kommentar des Präsidenten des BSI, Arne Schönbohm, er könne nur "gebetsmühlenartig" wiederholen: "Viele dieser Schäden sind vermeidbar, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden! Dazu zählt unter anderem die Sensibilisierung der Belegschaft genauso wie regelmäßige Back-ups oder das Einspielen von Sicherheitsupdates."

© SZ.de - Rechte am Artikel können Sie hier erwerben.
Zur SZ-Startseite

Hacker
:Tagsüber Spionage, abends Banküberfall

Die neu entdeckte Hackergruppe APT41 geht ungewöhnliche Wege: Sie spioniert nicht nur - mutmaßlich für China- , sondern hat auch noch einen kriminellen Nebenjob.

Von Max Muth

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: