Nach der vorübergehenden Zerschlagung seines Botnetzes greift der enorm gefährliche und raffinierte Trojaner Emotet wieder an. Sicherheitsforscher warnen vor neuen Maschen des Schädlings, dessen Drahtzieher in Russland sitzen könnten.

Ende Januar 2021 verkündeten internationale Ermittler die Zerschlagung der IT-Struktur des als "König der Trojaner" geltenden Malware Emotet. Doch schon wenige Monate später im November stellten Sicherheitsforscher weltweit wieder eine verstärkte Aktivität der mächtigen Schadsoftware fest. Jetzt ist Emotet wieder obenauf und hat neue Maschen parat, um Nutzer in die Falle zu locken.

Laut HP Wolf Security Threat Insights Report war der Trojaner im vergangenen Quartal mit neun Prozent aller erfassten Malware-Fälle wieder eine der am häufigsten entdeckten Schädlinge. Checkpoint Research (CPR) geht davon aus, dass schon im März 2022 weltweit 10 Prozent aller Unternehmen von Angriffen betroffen waren, zweimal mehr als im Februar.

Andere Hacker übernehmen

Das schnelle Comeback war offenbar möglich, da lediglich die Emotet-Infrastruktur zerschlagen war, die Drahtzieher aber auf freiem Fuß blieben. "Emotet war das stärkste Bot-Netz in der Geschichte der Cyber-Kriminalität. Nun hat es sein starkes Fundament an andere Hacker verkauft, um die Malware schnell zu verbreiten, zumeist an Ransomware-Banden", sagte Lotem Finkelsteen, der bei CPR die Bedrohungsanalyse leitet.

Wie bisher verbreitet sich die Malware über Spam-E-Mails, wobei die Anzahl der Angriffe laufend massiv zunimmt. HP Wolf Security stellte eine 28-fache Steigerung im Vergleich zum Vor-Quartal fest. Dabei geht der Schädling sehr raffiniert vor und täuscht Opfer mit, bekannten Absendern, plausiblen Betreffs, direkter Anrede und korrekter Signatur.

Täuschend echt aussehende Spam-Mails

Die Informationen dazu können aus den E-Mail-Verläufen und Adressbüchern von bereits kompromittierten Computern stammen. Die Schadsoftware setzt aber auch Daten von gehackten Websites ein, beispielsweise von Hotels, in denen angeschriebene Nutzer zuvor abgestiegen sind.

Bisher versuchte Emotet, seine Opfer dazu zu bringen, Makros in verseuchten Word- oder Excel-Datei zu erlauben. Das sind im Prinzip Abfolgen von Befehlen, mit denen in Office-Dokumenten Vorgänge automatisiert werden. Wurde ein bösartiges Emotet-Makro geöffnet, lud der Schädling weitere Malware nach, beispielsweise Erpresser- oder Banking-Trojaner.

Aus diesem Grund waren Makros bisher bereits grundsätzlich deaktiviert und Nutzer mussten die Ausführung erst akzeptieren, bevor die Mini-Programme loslegen konnten. Kürzlich hat Microsoft als zusätzliche Barriere eingeführt, dass Makros in Office-Dokumenten standardmäßig blockiert werden, wenn sie aus unsicheren Quellen stammen.

Neue Taktiken, Techniken und Verfahren

Die neuen Emotet-Strippenzieher steuern aber bereits entgegen. Wie unter anderem das Sicherheitsunternehmen Proofpoint festgestellt hat, haben sie in jüngster Zeit neue Taktiken, Techniken und Verfahren ausprobiert.

Dazu gehören E-Mails mit simplen Betreffs wie "Gehalt" oder "Prämien", die keine Anhänge mit verseuchten Makros mehr haben. Die Texte enthalten stattdessen Links zu ZIP-Archiven auf Microsofts Cloud-Speicher OneDrive. Sie enthalten Add-In-Dateien von Microsoft Excel (XLL), die ähnlich wie die Betreffs bezeichnet sind. Öffnet man diese Dateien und führt sie aus, wird Schadsoftware installiert.

Laut CPR haben die Angreifer einen weiteren interessanten Wechsel vorgenommen. Bisher war es so, dass zuerst Emotet installiert wurde, der dann weitere Schädlinge nachlud. Zu ihnen gehörte der Banking-Trojaner Trickbot. Jetzt sei es andersherum, so CPR, Trickbot verteile nun stattdessen neue Emotet-Varianten. Das Unternehmen schätzt, dass es alleine in den zehn Monaten nach der vermeintlichen Zerschlagung der Emotet-Infrastruktur in 149 Ländern rund 140.000 Opfer der neuen Angriffsstruktur gab.

Drahtzieher in Russland

Auch wenn die Hinterleute gewechselt haben sollten, kommen sie letztendlich vermutlich aus Russland beziehungsweise sympathisieren mit dem Land. Das geht aus einer Veröffentlichung der Cybersecurity & Infrastructure Security Agency hervor. Sowohl die bisherige Gruppe hinter Emotet "Spider Mummy" als auch die für Trickbot verantwortliche Gruppierung "Wizard Spider" werden von US-amerikanischen, australischen, kanadischen, neuseeländischen und britischen Cyberbehörden als "russisch ausgerichtete Cyberkriminalitätsgruppen" bewertet. Zu "Wizard Spider" schreiben sie unter anderem, die Gruppe unterstütze die russische Regierung und drohe mit Vergeltung für mutmaßliche Angriffe auf das russische Volk.

So schützt man sich

Um sich zu schützen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Nutzern, folgende Ratschläge zu befolgen:

- Installieren Sie zeitnah bereitgestellte Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (Webbrowser, E-Mail-Clients, Office-Anwendungen etc.).

- Setzen Sie Antiviren-Software ein und aktualisieren Sie diese immer wieder.

- Sichern Sie regelmäßig Ihre Daten (Backups).

- Richten Sie ein gesondertes Benutzerkonto auf dem Computer ein, um zu surfen und E-Mails zu schreiben.

- Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor Sie diese anklicken. Bei einer verdächtigen E-Mail sollten Sie im Zweifelsfall den Absender anrufen und sich nach der Glaubhaftigkeit des Inhaltes erkundigen.