Nach sieben Jahren ist es endlich soweit: Die Infrastruktur hinter der „gefährlichsten Schadsoftware weltweit“ (Zitat BKA) wurde zerschlagen. Die Rede ist von dem Trojaner „Emotet“. IT-Systeme auf der ganzen Welt wurden in den letzten Jahren von „Emotet“ lahmgelegt. Darunter nicht nur Systeme großer Kliniken, behördlicher Einrichtungen oder Universtäten, sondern auch Computer zehntausender Privatpersonen.
So verbreitete sich Emotet
Im Laufe der sieben Jahre hat sich die Schadsoftware immer weiterentwickelt: Während sie zunächst einzig Passwörter für das Onlinebanking abgriff, ging es zuletzt sogar so weit, dass weitere Schadsoftware nachgeladen wurde, mit der auf alle möglichen Inhalte zugegriffen werden konnte. Mit den Varianten TrickBot, QakBot und Ryuk, die besonders in Deutschland unterwegs waren, wurden Daten ausgespäht, Onlinebanking manipuliert und sogar das komplette System verschlüsselt, um anschließend Lösegeld zu erpressen.
Die Schadsoftware gelang unter anderem über infizierte Dokumenten-Anhänge in Spam-E-Mails auf die Systeme. Durch die Öffnung der Dokumente konnte eine Reihe von Befehlen ausgeführt und somit Kontakt mit einem Server aufgenommen werden, der von den Angreifern kontrolliert und über den anschließend Schadsoftware nachgeladen wurde.
Infizierte Rechner konnten daraufhin von den Angreifern ferngesteuert und auch für weitere Angriffszwecke auf andere Rechner verwendet werden. Allein in Deutschland entstanden Schäden in Höhe von 14,5 Millionen Euro.
So konnte Emotet gestoppt werden
Durch die Entdeckung, dass einige der Server in Deutschland standen, mit denen z.B. Schadprogramme nachgeladen wurden, konnte ermittelt werden, in welchen weiteren Ländern sich ebenfalls solche Server befanden. Gemeinsam mit dem ZIT und Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich, England, Kanada, den USA, Europol und Eurojust suchte das BKA international nach den Cyberkriminellen. Mehrere hundert Beamtinnen und Beamten wurden somit in den Fall verwickelt, erklärt BKA-Chef Münch in einem Pressestatement.
In der Ukraine kam es dann kürzlich zum entscheidenden Schritt. Ukrainischen Behörden gelang es, Zugriff auf die Infrastruktur eines mutmaßlichen Betreibers zu erlangen und die Schadsoftware unbrauchbar zu machen.
„Mit den diese Woche durchgeführten Maßnahmen ist es uns gelungen, die Täter von einem weiteren Zugriff auf die Emotet-Infrastruktur auszusperren, die Kontrolle über die Infrastruktur zu übernehmen und umfangreiche Beweismittel sicherzustellen", sagte BKA-Chef Holger Münch in seinem Statement weiter.
Das bedeutet, dass die Betreiber ihren Zugriff auf die infizierten Geräte verloren haben und die Schadsoftware nicht mehr nutzen können.
Folgt Emotet 2.0?
„Die Maßnahmen heute waren nicht das Ende der Ermittlungen", sagte Dr. Benjamin Krause, Pressesprecher der ZIT, jedoch auch. Durch die Menge an Beweismitteln müssen nun die Menschen hinter der Infrastruktur gefunden werden. In Deutschland gibt es bisher noch keine Verdächtigen.
Haya Shulman (Fraunhofer Institut für Sichere Informationstechnologie (SIT) / Nationales Forschungszentrum für Angewandte Cybersicherheit Athene) sieht die Gefahr nur zeitweise gebannt. Sie vermutete, dass die Angreifer neue Strategien entwickeln werden und dadurch wird es konsequenterweise „wieder ein Emotet geben“.
Besonders jetzt ist Vorsicht geboten. Denn das BKA gibt die IP-Adressen der betroffenen Geräte an das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiter, damit die Nutzer, überwiegend per E-Mail, in Kenntnis gesetzt werden. Diesen Umstand werden allerdings womöglich andere Cyberkriminelle für sich nutzen, um gefährliche Phishing-E-Mails zu versenden. Es könnte hierbei der Anschein erweckt werden, dass eine E-Mail des BSI eingegangen ist, in der über eine mögliche Infizierung des Rechners mit Emotet informiert wird. Stattdessen soll der Empfänger jedoch dazu verleitet werden, einen Link zu nutzen, hinter dem sich dann bereits der nächste Virus versteckt.
Ein moderner Virenschutz ist unverzichtbar
Um Phishing-E-Mails von ungefährlichen E-Mails unterscheiden zu können, sollten sich Nutzer vor allem die E-Mail-Adresse anschauen, über die die E-Mail versendet wurde. Es sollte auf Rechtschreibfehler und unseriöse Bezeichnungen geachtet werden. Im Zweifel sollten Anhänge nicht geöffnet und nicht auf Links geklickt werden. Im Business-Bereich ist der Administrator erster Ansprechpartner für „seltsame“ E-Mails. Im privaten Bereich könnte der E-Mail-Provider weiterhelfen. Dieser kann die Nutzer informieren, über welche E-Mail-Adresse die Nachricht tatsächlich geschrieben wurde.
Auch wenn es jetzt einen erfolgreichen Schlag gegen Cyberkriminalität gab, darf nicht vergessen werden, dass das zentrale Problem hinter Emotet weiter vorhanden bleibt: Im Internet und bei der Nutzung digitaler Kommunikationsmittel und Online-Services muss immer mit Angriffen gerechnet werden. Die Aufmerksamkeit der Nutzer ist daher enorm wichtig. Doch auch Technologien sind unverzichtbar, um sich zuverlässig zu schützen.
Ein aktueller, moderner Virenschutz ist im privaten wie geschäftlichen Umfeld elementar. Denn auch die Cyberkriminellen werden immer besser. Rechtschreibfehler sucht man in einigen Phishing-E-Mails vergeblich. Auch die Absender erscheinen bekannt und seriös zu sein. Wenn dann ein Nutzer einen infizierten Anhang öffnet, kann nur die richtige Virenschutz-Software dafür sorgen, dass z.B. das System von einer Verschlüsselung verschont bleibt.