Die besonders gefährliche Schadsoftware Emotet ist wieder da. Die Emotet-Tracking-Gruppe Cryptolaemus sowie die Sicherheitsfirmen GData und Advanced Intel haben eine gerade mal drei Tage alte neue Version des Trojaners Emotet auf einem mit der Schadsoftware Trickbot infizierten Rechner entdeckt.
Bisher infizierte Emotet die Rechner und lud danach Trickbot zum Ausspähen von Zugangsdaten nach. Jetzt nutzen die Kriminellen eine Methode, bei der das Emotet-Botnetz unter Nutzung der bestehenden Trickbot-Infrastruktur neu aufgebaut wird.
“Der international koordinierte Takedown von Emotet zeigte über viele Monate Wirkung und bewahrte viele Opfer vor Schaden, wozu wir allen beteiligten Behörden gratulieren. Unsere aktuellen Analysen machen gleichwohl deutlich, dass Emotet jetzt zurück ist – das zeige die manuelle Analyse aktueller Schadsoftware-Samples”, sagte dazu Geschäftsführer Dr. Tilman Frosch von GData Advanced Analytics.
Die entdeckte Emotet-Variante ist topaktuell
Dass dabei bisher noch keine großen Mengen Spam-Emails aufgetaucht seien, liege wohl daran, dass das Emotet-Botnetz durch den Takedown nachhaltig gestört wurde, erläutert GData.
Der Quellcode des neu identifizierten Samples sei Emotet in der Struktur sehr ähnlich, zeige aber auch Unterschiede. So würde zwar auch noch HTTPS genutzt, jetzt aber auch mit einem selbst signierten Zertifikat. Nach Angaben von Vitali Kremez von Advanced Intel wurde die neue Emotet-Loader-DLL am 14. November kompiliert und ist damit erst drei Tage alt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht bisher allein in Deutschland von mehreren Zehntausend Emotet-Opfern aus. Darunter waren Firmen, aber auch viele Behörden wie das Kammergericht in Berlin. BSI-Präsident Arne Schönbohm nannte Emotet schon 2019 den “König der Schadsoftware”.
Schon über vier Millionen Emailkonten gehackt
Auf bei dem Emotet-Takedown beschlagnahmten Servern fanden die Sicherheitsspezialisten auch 4,3 Millionen Zugangsdaten zu Emailkonten, die das FBI dann an den Dienst Have I Been Pwned (HIBP) weitergab. Dort können Sie selbst prüfen, ob Sie zu den Betroffenen zählen…
