News zu Emotet

Auf­räum­ar­beiten nach Emotet-Takedown

Die Emotet-Malware, die seit 2014 in ver­schie­denen Ite­ra­tionen ihr Unwesen getrieben hat, wurde dank eines koor­di­nierten Ein­satzes ver­schie­dener staat­licher Orga­ni­sa­tionen, pri­vaten Firmen und Ein­zel­per­sonen Anfang 2021 emp­findlich gestört; die zugrunde lie­gende Infra­struktur ist nun unter Kon­trolle von Polizei und Behörden wie der Europol.

Emotet war der Tür­öffner und die Malware-as-a-Service für Banking-Tro­­janer, Ran­somware und andere Schad­software, die weltweit Schaden im Bereich von meh­reren hundert Mil­lionen bis 2.5 Mil­li­arden Euro ver­ur­sacht hat.

Durch den behörd­lichen Zugriff auf Server und aus­ge­spähte Zugangs­daten infi­zierter PCs hat das CERT Bund, das Com­puter Emer­gency Response Team für Bun­des­be­hörden, Listen mit betrof­fenen Benutzern.

Oder, um genau zu sein, Benut­zer­daten, welche von Emotet zu einem Zeit­punkt des Befalls mit­ge­lesen und auf den kri­mi­nellen Servern gespei­chert worden sind. Das heißt nicht not­wen­di­ger­weise, dass heute noch eine Infektion besteht; als Betrof­fener sollte man dennoch das eigene System anlass­be­zogen auf Viren überprüfen.

Wie erfährt man, ob man betroffen ist oder war?

Die Pro­vider sind auf­ge­rufen, ihre jewei­ligen Nutzer*innen zu infor­mieren, falls diese in den Listen auf­ge­führt sind.

Bei 700.000 betrof­fenen Benut­zer­konten von 80.000 Online­diensten in Deutschland ist die Wahr­schein­lichkeit ganz gut, dass jemand aus Ihrem Bekann­ten­kreis mit dabei ist:

24718 gmx.net

14618 1und1.de

14198 telekom.com

13953 web.de

etc.

Die aus­ge­spähten Pass­wörter liegen dem CERT-Bund nicht vor; die Kri­mi­nellen hatten diese aber. Der Zeit­punkt der Infektion, und ob diese nach wie vor anhält, ist eben­falls derzeit unbekannt.

Wenn Sie von Ihrem Pro­vider eine Mail bekommen, dass Sie betroffen sind, dann helfen fol­gende Schritte:

- gründ­licher Scan mit einem oder meh­reren aktu­ellen Anti­vi­rus­pro­grammen; folgen Sie dabei den bekannten Best Prac­tices wie Booten von einer Rescue-CD etc.

- ändern Sie alle Pass­wörter für die Dienste, bei denen Sie mit dem befal­lenen Rechner in den letzten sieben Jahren ver­bunden waren. Nachdem sich die wenigsten Leute daran erinnern werden, können Sie ent­weder alle pri­vaten Online-Zugangs­­­daten mit einem fri­schen Passwort ver­sehen oder sich auf die wich­tigsten Dienste kon­zen­trieren: Ihr Mail­postfach (wer darauf zugreifen kann, hat nahezu alles andere in der Hand), PayPal, Ebay, Banking.…

Und warum ist das Mail­postfach so wichtig? Wenn jemand darin mit­lesen kann, ist es diesem Angreifer möglich, das Passwort bei anderen Diensten zurück­zu­setzen. Die Mail mit dem Link für Rück­setzen und Neu­vergabe des Pass­worts landet dann wo? Genau, im Mailpostfach.

Falls Sie kein 2FA/MFA (also zwei- oder Mehr­fach­au­then­ti­fi­kation wie z.B. eine zusätz­liche SMS) ein­ge­stellt haben, ver­steht sich.

Aber häufig sind es ja nicht die ein­ge­fleischten Sicher­heits­profis, die sich Emotet ein­ge­fangen haben, selbst wenn auch diese nicht immun dagegen waren.

Mit Emotet ist die Infra­struktur für viele schäd­liche Akti­vi­täten eli­mi­niert worden. Leider wird die kri­mi­nelle Szene sich erholen und andere Wege finden — bleiben Sie auf­merksam und über­legen Sie sich wie immer gut, was Sie klicken!

Links zum Thema:

https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action

https://www.wired.com/story/emotet-botnet-takedown/

https://heimdalsecurity.com/blog/emotet-malware-history/