Am Mittwoch, den 27.01.2021, erschien auf der Tagesschau-Webseite unerwartet die Meldung, dass der Trojaner Emotet, der ĂŒber Jahre hinweg unzĂ€hlige IT-Infrastrukturen befallen hatte, endlich zerschlagen wurde.

Dies geschah am Dienstag im Rahmen einer internationalen Aktion von acht Strafverfolgungsbehörden aus Deutschland, den Niederlanden, der Ukraine, Litauen, Frankreich, Großbritannien, Kanada und den USA. Aus Deutschland war neben dem Bundeskriminalamt (BKA) auch die Zentralstelle zur BekĂ€mpfung der InternetkriminalitĂ€t (ZIT) involviert. Die Koordination der Aktion unterlag der europĂ€ische Polizeibehörde Europol sowie Eurojust (die Agentur der EuropĂ€ischen Union fĂŒr justizielle Zusammenarbeit in Strafsachen).

Emotet: Infizierung per Phishing-Mail

Bei Emotet handelt es sich um einen Trojaner, der sich ĂŒber Phishing-E-Mails Zugang zu einem Unternehmen verschafft. Die von einem Nutzer (z.B. einem Mitarbeiter) geöffneten E-Mails enthielten das Schadprogramm entweder direkt im Dateianhang (z.B. in einem Microsoft Office Dokument, einer PDF-Datei oder in einem ZIP-Archiv verpackt) oder ĂŒber einen Link, mit dem der EmpfĂ€nger sich z.B. eine angebliche Rechnung bzw. Mitteilung herunterladen sollte.

Emotet zeichnet sich insbesondere dadurch aus, dass die Phishing-E-Mails nicht sofort als solche erkennbar waren, da sie stets auf die jeweilige Zielgruppe abgestimmt wurden. Beispielsweise erhielten im Personalwesen tĂ€tige Personen, den Trojaner durch gefĂ€lschte Bewerbungsunterlagen. Auch wurden z.B. Rechnungen bekannter Telekommunikationsanbieter nachgeahmt. DarĂŒber hinaus waren die Phishing-E-Mails grundsĂ€tzlich in fehlerfreiem Deutsch geschrieben und es wurde (wenn möglich) auch mit logischen ZusammenhĂ€ngen gearbeitet. Dazu wurden z.B. die Outlook-Kontakte von bereits infizierten Konten ausgelesen und sogenannte Sender-EmpfĂ€nger-Beziehungen hergestellt. Dadurch war es dem Trojaner möglich, bekannte E-Mail-Adressen als Absender der Phishing-Mails auszuwĂ€hlen und teilweise sogar vertraute Inhalte (z.B. aus einer vorherigen E-Mail-Kommunikation) zu integrieren.

Zu den Betroffenen gehörten eine Vielzahl von Unternehmen, KrankenhÀuser, UniversitÀten, Einrichtungen der kommunalen Verwaltung sowie andere Organisationen.

Auswirkungen von Emotet

Hatte Emotet einmal seinen Weg ins System gefunden, nahm die „Schad-Kaskade“ ihren Lauf. So gab es großflĂ€chige oder komplette AusfĂ€lle von IT-Infrastrukturen, die sich beispielsweise in tage- und wochenlangen ProduktionsausfĂ€llen Ă€ußerten. Auch konnten Dienstleistungen ĂŒber einen lĂ€ngeren Zeitraum nicht erbracht werden, im Krankenhaus konnten Patienten nicht entsprechend behandelt werden, Gerichte und Staatverwaltungen wurden lahmgelegt und in vielen Unternehmen mussten Mitarbeiter in den Zwangsurlaub geschickt werden. Aber auch Privatpersonen waren betroffen, z.B. durch Online-Banking-Manipulation oder Passwort-Spionage. Nach EinschĂ€tzung der Ermittler entstand allein in Deutschland ein Schaden in Höhe von mindestens 14,5 Millionen Euro.

Die ersten Spuren von Emotet waren bereits 2014 entdeckt worden. Eine Besonderheit der Schadsoftware ist außerdem ihre Vielseitigkeit, da sich sowohl ihre Eigenschaften als auch die DurchfĂŒhrung der Angriffe stĂ€ndig Ă€ndert:

  • Emotet greift sowohl Firmen als auch Endbenutzer an
  • Emotet missbraucht Kontakt-Informationen aus Outlook
  • Emotet kann andere Schadsoftware nachladen und sich in Netzwerken verbreiten
  • Emotet verwendet verschiedene Methoden, um Zugangsdaten fĂŒr E-Mail-Clients und Browser auszulesen

Einsatz gegen Emotet dauerte mehr als zwei Jahre

Europol teilte mit, dass der gesamte Einsatz gegen die Schadsoftware Emotet mehr als zwei Jahre gedauert hatte. Die Infrastruktur von Emotet umfasste weltweit mehr als hundert Server, die wiederum unterschiedliche Funktionen ausgefĂŒhrten (z.B. Fernsteuerung infizierter Systeme, Weiterverbreitung des SchĂ€dlings, Zusammenarbeit mit anderen Kriminellen, etc.). Laut BKA wurden in Deutschland zunĂ€chst einige Emotet-Server identifiziert. Es erfolgten umfangreiche Analysen der ermittelten Daten, wodurch wiederum eine weitere Identifizierung von anderen befallenen Servern in EU-Staaten möglich wurde. Der Zugriff erfolgte schließlich Anfang dieser Woche (Stand 28.01.2021), indem sich die Ermittler Zugang zur internen Infrastruktur der ihnen bekannten Server verschafften und diese von innen heraus ĂŒbernahmen. Die Schadsoftware wurde auf den betroffenen Systemen in „QuarantĂ€ne verschoben“, sodass diese nur noch mit den Beweissicherungssystemen interagieren kann. Dadurch wurde die Software fĂŒr die TĂ€ter unbrauchbar gemacht. SĂ€mtliche Erkenntnisse der Beweissicherungssysteme werden an das BSI (Bundesamt fĂŒr Sicherheit in der Informationstechnik) ĂŒbermittelt.

Allein in Deutschland wurden laut BKA 17 Server beschlagnahmt. In Kiew teilte die ukrainische Staatsanwaltschaft mit, dass dort mehrere Personen festgenommen worden seien. Der Gesamtschaden in den betroffenen LÀndern wurde auf umgerechnet etwa 2,1 Milliarden Euro geschÀtzt.

Quellenangaben:

Quelle 1: Artikel „Schadsoftware „Emotet“ zerschlagen“, abgerufen am 27.01.2021 unter https://www.tagesschau.de/wirtschaft/emotet-bka-101.html

Quelle 2: Artikel „Emotet: Strafverfolger zerschlagen Malware-Infrastruktur“ zerschlagen“, abgerufen am 27.01.2021 unter https://www.heise.de/news/Emotet-Strafverfolger-zerschlagen-Malware-Infrastruktur-5038233.html

Quelle 3: Artikel „Emotet: Eine Übersicht ĂŒber die Schadsoftware“, abgerufen am 28.01.2021 unter https://www.dfn-cert.de/aktuell/emotet-beschreibung.html