Am Mittwoch, den 27.01.2021, erschien auf der Tagesschau-Webseite unerwartet die Meldung, dass der Trojaner Emotet, der über Jahre hinweg unzählige IT-Infrastrukturen befallen hatte, endlich zerschlagen wurde.
Dies geschah am Dienstag im Rahmen einer internationalen Aktion von acht Strafverfolgungsbehörden aus Deutschland, den Niederlanden, der Ukraine, Litauen, Frankreich, Großbritannien, Kanada und den USA. Aus Deutschland war neben dem Bundeskriminalamt (BKA) auch die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) involviert. Die Koordination der Aktion unterlag der europäische Polizeibehörde Europol sowie Eurojust (die Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen).
Emotet: Infizierung per Phishing-Mail
Bei Emotet handelt es sich um einen Trojaner, der sich über Phishing-E-Mails Zugang zu einem Unternehmen verschafft. Die von einem Nutzer (z.B. einem Mitarbeiter) geöffneten E-Mails enthielten das Schadprogramm entweder direkt im Dateianhang (z.B. in einem Microsoft Office Dokument, einer PDF-Datei oder in einem ZIP-Archiv verpackt) oder über einen Link, mit dem der Empfänger sich z.B. eine angebliche Rechnung bzw. Mitteilung herunterladen sollte.
Emotet zeichnet sich insbesondere dadurch aus, dass die Phishing-E-Mails nicht sofort als solche erkennbar waren, da sie stets auf die jeweilige Zielgruppe abgestimmt wurden. Beispielsweise erhielten im Personalwesen tätige Personen, den Trojaner durch gefälschte Bewerbungsunterlagen. Auch wurden z.B. Rechnungen bekannter Telekommunikationsanbieter nachgeahmt. Darüber hinaus waren die Phishing-E-Mails grundsätzlich in fehlerfreiem Deutsch geschrieben und es wurde (wenn möglich) auch mit logischen Zusammenhängen gearbeitet. Dazu wurden z.B. die Outlook-Kontakte von bereits infizierten Konten ausgelesen und sogenannte Sender-Empfänger-Beziehungen hergestellt. Dadurch war es dem Trojaner möglich, bekannte E-Mail-Adressen als Absender der Phishing-Mails auszuwählen und teilweise sogar vertraute Inhalte (z.B. aus einer vorherigen E-Mail-Kommunikation) zu integrieren.
Zu den Betroffenen gehörten eine Vielzahl von Unternehmen, Krankenhäuser, Universitäten, Einrichtungen der kommunalen Verwaltung sowie andere Organisationen.
Auswirkungen von Emotet
Hatte Emotet einmal seinen Weg ins System gefunden, nahm die „Schad-Kaskade“ ihren Lauf. So gab es großflächige oder komplette Ausfälle von IT-Infrastrukturen, die sich beispielsweise in tage- und wochenlangen Produktionsausfällen äußerten. Auch konnten Dienstleistungen über einen längeren Zeitraum nicht erbracht werden, im Krankenhaus konnten Patienten nicht entsprechend behandelt werden, Gerichte und Staatverwaltungen wurden lahmgelegt und in vielen Unternehmen mussten Mitarbeiter in den Zwangsurlaub geschickt werden. Aber auch Privatpersonen waren betroffen, z.B. durch Online-Banking-Manipulation oder Passwort-Spionage. Nach Einschätzung der Ermittler entstand allein in Deutschland ein Schaden in Höhe von mindestens 14,5 Millionen Euro.
Die ersten Spuren von Emotet waren bereits 2014 entdeckt worden. Eine Besonderheit der Schadsoftware ist außerdem ihre Vielseitigkeit, da sich sowohl ihre Eigenschaften als auch die Durchführung der Angriffe ständig ändert:
- Emotet greift sowohl Firmen als auch Endbenutzer an
- Emotet missbraucht Kontakt-Informationen aus Outlook
- Emotet kann andere Schadsoftware nachladen und sich in Netzwerken verbreiten
- Emotet verwendet verschiedene Methoden, um Zugangsdaten für E-Mail-Clients und Browser auszulesen
Einsatz gegen Emotet dauerte mehr als zwei Jahre
Europol teilte mit, dass der gesamte Einsatz gegen die Schadsoftware Emotet mehr als zwei Jahre gedauert hatte. Die Infrastruktur von Emotet umfasste weltweit mehr als hundert Server, die wiederum unterschiedliche Funktionen ausgeführten (z.B. Fernsteuerung infizierter Systeme, Weiterverbreitung des Schädlings, Zusammenarbeit mit anderen Kriminellen, etc.). Laut BKA wurden in Deutschland zunächst einige Emotet-Server identifiziert. Es erfolgten umfangreiche Analysen der ermittelten Daten, wodurch wiederum eine weitere Identifizierung von anderen befallenen Servern in EU-Staaten möglich wurde. Der Zugriff erfolgte schließlich Anfang dieser Woche (Stand 28.01.2021), indem sich die Ermittler Zugang zur internen Infrastruktur der ihnen bekannten Server verschafften und diese von innen heraus übernahmen. Die Schadsoftware wurde auf den betroffenen Systemen in „Quarantäne verschoben“, sodass diese nur noch mit den Beweissicherungssystemen interagieren kann. Dadurch wurde die Software für die Täter unbrauchbar gemacht. Sämtliche Erkenntnisse der Beweissicherungssysteme werden an das BSI (Bundesamt für Sicherheit in der Informationstechnik) übermittelt.
Allein in Deutschland wurden laut BKA 17 Server beschlagnahmt. In Kiew teilte die ukrainische Staatsanwaltschaft mit, dass dort mehrere Personen festgenommen worden seien. Der Gesamtschaden in den betroffenen Ländern wurde auf umgerechnet etwa 2,1 Milliarden Euro geschätzt.
Quellenangaben:
Quelle 1: Artikel „Schadsoftware „Emotet“ zerschlagen“, abgerufen am 27.01.2021 unter https://www.tagesschau.de/wirtschaft/emotet-bka-101.html
Quelle 2: Artikel „Emotet: Strafverfolger zerschlagen Malware-Infrastruktur“ zerschlagen“, abgerufen am 27.01.2021 unter https://www.heise.de/news/Emotet-Strafverfolger-zerschlagen-Malware-Infrastruktur-5038233.html
Quelle 3: Artikel „Emotet: Eine Übersicht über die Schadsoftware“, abgerufen am 28.01.2021 unter https://www.dfn-cert.de/aktuell/emotet-beschreibung.html