Aktuelles, Experten - geschrieben von dp am Mittwoch, Januar 27, 2021 19:52 - noch keine Kommentare
BKA-Erfolgsmeldung: Emotet-Infrastruktur zerschlagen
Emotet galt noch vor Kurzem als gefährlichste Schadsoftware weltweit
[datensicherheit.de, 27.01.2021] Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben nach eigenen Angaben am 26. Januar 2021 „im Rahmen einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA die Infrastruktur der Schadsoftware ,Emotet‘ mit Unterstützung von Europol und Eurojust übernommen und zerschlagen“.
Foto: BKA (Screenshot)
BKA-Präsident Holger Münch: Infrastruktur der Emotet-Schadsoftware zerschlagen
Downloader Emotet konnte unbemerkt ein Opfersystem infizieren
„Emotet“ habe als derzeit gefährlichste Schadsoftware weltweit gegolten und auch in Deutschland neben Computern Zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert, wie beispielsweise die des Klinikums Fürth, des Kammergerichts Berlin, der Bundesanstalt für Immobilienaufgaben (BImA) oder der Stadt Frankfurt am Main.
Als sogenannter Downloader habe „Emotet“ die Funktion besessen, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen Botnetzes sei zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy“ gegen Entgelt angeboten worden.
Deshalb könne das kriminelle Geschäftsmodell mit „Emotet“ als „Malware-as-a-Service“ bezeichnet werden. Es habe weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe geboten. Alleine in Deutschland sei durch Infektionen mit der Malware „Emotet“ oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.
Ermittlungen von ZIT und BKA gegen Emotet-Betreiber seit August 2018
Die Ermittlungen von ZIT und BKA gegen die Betreiber der Schadsoftware „Emotet“ und des Emotet-Botnetzes wegen des „Verdachts des gemeinschaftlichen gewerbsmäßigen Computerbetruges und anderer Straftaten“ werden demnach seit August 2018 geführt.
Im Rahmen dieses Ermittlungsverfahrens seien zunächst in Deutschland verschiedene Server identifiziert worden, „mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschlüsselter Kommunikation kontrolliert und gesteuert werden“.
Umfangreiche Analysen der ermittelten Daten hätten zu der Identifizierung weiterer Server in mehreren europäischen Staaten geführt. „So konnten im Wege der internationalen Rechtshilfe weitere Daten erlangt und die ,Emotet‘-Infrastruktur durch Beamte des BKA und der internationalen Partnerdienststellen immer weiter aufgedeckt werden.“
Zugriff der Täter auf Emotet-Infrastruktur unterbunden
Da sich die auf diese Weise identifizierten Bestandteile der „Emotet“-Infrastruktur in mehreren Ländern befänden, seien die Maßnahmen zum „Takedown“ am 26. Januar 2021 auf Initiative von ZIT und BKA in enger Kooperation mit den betroffenen internationalen Strafverfolgungsbehörden durchgeführt worden.
Beamte des BKA sowie Staatsanwälte der ZIT hätten dabei in Deutschland bisher bereits 17 Server beschlagnahmt. Daneben seien auf Ersuchen der deutschen Strafverfolgungsbehörden auch in den Niederlanden, in Litauen und in der Ukraine im Rahmen von internationalen Rechtshilfemaßnahmen weitere Server beschlagnahmt worden.
Durch dieses von Europol und Eurojust koordinierte Vorgehen sei es nicht nur gelungen, den Zugriff der Täter auf die „Emotet“-Infrastruktur zu unterbinden. Auch umfangreiche Beweismittel seien gesichert worden. Zudem habe im Rahmen der Rechtshilfemaßnahmen in der Ukraine bei einem der mutmaßlichen Betreiber die Kontrolle über die „Emotet“-Infrastruktur übernommen werden können.
Emotet auf betroffenen deutschen Opfersystemen für Täter unbrauchbar gemacht
Durch die Übernahme der Kontrolle über die „Emotet“-Infrastruktur sei es möglich gewesen, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen. Um den Tätern jegliche Möglichkeit zu nehmen, die Kontrolle zurückzuerlangen, sei die Schadsoftware auf den Opfersystemen in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst worden, „dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können“.
Die dabei erlangten Informationen über die Opfersysteme wie z.B. öffentliche IP-Adressen würden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt. Das BSI benachrichtige die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Provider würden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stelle das BSI Informationen zur Bereinigung betroffener Systeme zur Verfügung.
Für ZIT und BKA stelle das Zerschlagen der „Emotet“-Infrastruktur einen „bedeutenden Schlag“ gegen die international organisierte Internetkriminalität und zugleich eine wesentliche Verbesserung der Cyber-Sicherheit in Deutschland dar.
Weitere Informationen zum Thema:
Bundeskriminalamt BKA, 27.01.2021
Pressestatement von BKA-Präsident Holger Münch / Infrastruktur der Emotet-Schadsoftware zerschlagen
Bundeskriminalamt BKA
Die wichtigsten Fragen und Antworten rund um die Schadsoftware „Emotet“
datensicherheit.de, 22.10.2020
Emotet: Varianten ohne Ende / Explosionsartige Ausbreitung von Emotet im ersten Halbjahr 2020 mit mehr als 27.800 neuen Varianten
datensicherheit.de, 17.08.2020
Wie Phoenix aus der Asche: Schadsoftware Emotet zurück / Der Trojaner wurde modifiziert und kann nun E-Mail-Inhalte von infizieren Rechnern auslesen
datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren