16. Dez. 2022

Die Rückkehr von Emotet

Emotet ist wieder da und hat neue Features im Gepäck. So nutzen die neuen Emotet-Varianten zum Beispiel ein angepasstes Kommunikationsprotokoll, mit einer sich ständig ändernden Entschlüsselungsroutine. Welche Entwicklung Emotet noch vollzogen hat, beleuchtet unser Beitrag.

Von Kevin Börner

Nach langer Pause hat sich Emotet wieder zu einer konstanten Bedrohung in der IT-Welt aufgeschwungen. So wurde im Sommer 2022 das Max-Planck-Institut Opfer des Schadcodes. Die Malware konnte nicht nur eine genaue Kopie der E-Mails von Kollegen erschaffen, sondern auch die Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern infizierter Systeme auslesen. Die daraus generierten Phishing-E-Mails, die sich auf tatsächlich stattgefundene Kommunikationsverläufe bezogen, wirkten so authentisch, dass die Mitarbeiter auf den eingebetteten Link klicken oder die angehängte Datei mit Schadcode öffneten. Emotet begann im Jahr 2014 als Banking-Trojaner, der sich über Spam-Kampagnen, die Kontoauszüge, Überweisungen und Zahlungsrechnungen imitierten, verbreitete. Meistens war in den E-Mailanhängen eine Office-Datei, die ein Makro enthielt – wird es aktiviert, lädt es eine bösartige Portable-Executable-(PE)-Datei (in diesem Fall Emotet) herunter, die dann ausgeführt wird. Sobald das geschieht, ist Emotet auf dem Rechner und kann den Netzwerkverkehr abfangen und protokollieren, sich in Browser einklinken und auf Bank-Websites zugreifen, um Finanzdaten zu exfiltrieren und zu speichern. Hierbei kann die Malware sogar Sicherheitsmaßnahmen umgehen und bewegt sich lateral, indem sie einen Server-Message-Block-(SMB)-Exploit oder Brute-Force-Anmeldedaten ausnutzt, was Emotet zu einer der gefährlichsten und dominantesten Malware-Familien in freier Wildbahn macht.

Den Höhepunkt hatte das Malware-Botnet in den Jahren 2019 und 2020: Als die Pandemie ausbrach und die Bevölkerung bereits verunsichert war, überschwemmten Hacker die Nutzer mit einer Flut an Phishing-E-Mails, die vermeintliche Updates zur COVID-19-Lage, den Maskenvorschriften und Lockdown-Regelungen lieferten. In der allgemeinen Verwirrung und Informationsflut wurden die E-Mails und Anhänge nur allzu oft geöffnet und sorgten für einen großen Schaden bei den Benutzern und einem riesigen Umsatz bei den Cyberkriminellen.

Die Angriffe von Emotet richteten so viel Schaden an, dass man eine internationale Taskforce auf das Botnet ansetzte. Doch selbst diese konnte trotz Beschlagnahmen der Infrastruktur und sogar einigen Verhaftungen das Übel nur kurzzeitig eindämmen. Es war wie der Kampf gegen Medusa – gerade, wenn man dachte, das Botnet geschwächt zu haben, tauchten zwei neue Emotet-Köpfe auf. Einer im November 2021, einer anderer Anfang 2022. Seit Mitte Oktober ist Emotet nun mit fast täglicher Aktivität und neuen Angriffsvektoren zurück.

Was die neuen Methoden und Varianten ausmacht

Damit sich Unternehmen besser schützen und Anbieter von Sicherheitslösungen ihre Produkte anpassen können, müssen sie verstehen, wie Emotet innerhalb seines Comebacks agiert. Hier haben sich einige Experten, unter anderem auch das Threat-Intelligence-Team von Deep Instinct, an eine Analyse der neuen Bedrohungsvarianten gemacht.

Die Gruppe hinter Emotet ist – wie die allermeisten Cyberkriminellen – umsatzgetrieben und hat ihr Geschäftsmodell weiterentwickelt. Was Emotet so gefährlich macht, ist sein Malware-as-a-Service-(MaaS)-Ansatz, also das Vermieten der eigenen Malware an andere Cyberkriminelle. Diese können so schnell verschiedene Arten von Malware, wie Banking-Trojaner oder Ransomware, verbreiten, da sie die Algorithmen nicht mehr selbst erstellen müssen und kein einschlägiges Wissen dazu benötigen. Ein bekannter Emotet-Partner ist beispielsweise TrickBot, was dadurch belegt wird, dass infizierte TrickBot-Rechner zum Herunterladen der neuen Emotet-Variante verwendet werden.

Die neuen Emotet-Varianten haben sich aber auch hinsichtlich des verwendeten Kommunikationsprotokolls gewandelt, das nun eine sich ständig ändernde Entschlüsselungsroutine aufweist. Hier setzt Emotet mittlerweile primär auf 64-bit PE-Dateien sowie auf stark obfuskierte PowerShell- und VB-Skripte. Allerdings kommt es weiterhin zur Verwendung einer alten Excel-Funktion (Excel 4.0), um das bösartige Makro auszuführen. Die Nutzung von Microsoft Excel-Makros ist im Vergleich zu 2021 um fast 900 Prozent gestiegen. Insgesamt zeigen die Forschungsergebnisse, dass fast die Hälfte der erkannten Malware-Attacken mit einer Art von Office-Anhang arbeitet. Zumeist waren es Excel-Tabellen (33 %), aber über ein Viertel (29 %) waren dabei auch Dateien oder Skripte, dicht gefolgt von Archiven mit 22 Prozent und letztlich auch Dokumenten mit 11 Prozent.

Was Unternehmen hinsichtlich ihrer Sicherheitslösung aber zu denken geben sollte, ist, dass sich circa 20 Prozent aller schädlichen Samples Zutritt durch eine Microsoft-Schwachstelle aus dem Jahr 2017 verschaffen und laut der Analyseergebnisse über 90 Prozent der Bedrohungen bereits bekannt waren. Bei lediglich einem Zehntel handelte es sich um völlig neue Angriffsszenarien. Und obwohl die Angriffe in hohem Maße bekannt waren, konnten 14 Prozent der E-Mail-Malware mindestens einen E-Mail-Gateway-Sicherheitsscanner umgehen, bevor sie erfasst wurde.

Ein weiterer neuer Aspekt der upgedateten Variante ist, dass die gestohlenen Nutzer- und Anmeldedaten noch effektiver als bisher gesammelt werden. Anschließend können diese Informationen für Folgeangriffe innerhalb des Netzwerks genutzt werden – ähnlich wie vermutlich auch beim Max-Planck-Institut.

Mit Deep-Learning und Prävention einen Schritt voraus

Was der IT-Sektor und Entscheidungsträger aus einer derartig starken Rückkehr einer bekannten Bedrohung (mit lediglich neuen Varianten) mitnehmen sollten, ist, dass

  • auch Hacker immer besser werden und
  • Sicherheitstools häufig selbst bekannte Angriffsvektoren nicht also solche identifizieren können.

Dabei zeigt Emotet eindrucksvoll, dass viele der aktuellen Standard-Sicherheitstools umgangen werden können. Daher ist es entscheidend einen präventiven Sicherheitsansatz zu haben, der die Angreifer gar nicht erst so weit vordringen lässt. Lösungen auf Basis von künstlicher Intelligenz und Deep-Learning-Algorithmen, können hierbei mithilfe von existierenden Datensätzen eigenständig dazulernen und bestimmte, wiederkehrende Muster in Angriffsszenarien autonom erkennen. Je genauer und schneller eine Lösung dabei reagiert, desto besser – denn ein Angriff dauert oft weniger als 60 Sekunden. Deep-Learning kann hier die Sichel des Perseus sein, um die Malware-Medusa (zumindest vorläufig) zu besiegen beziehungsweise abzuwehren.

Kevin Börner ist seit über 10 Jahren im Bereich der Endgerätesicherheit und Cybersecurity unterwegs. Er bringt ein tiefes Fachwissen im Bereich der künstlichen Intelligenz (insbesondere maschinelles Lernen und Deep-Learning) und Cybersecurity mit. Seit April ist er als Distinguished Sales Engineer für die technische Ausrichtung von Deep Instinct in Europa mitverantwortlich.

zurück