Offensive Services

Das Ende von Emotet – Unser Fazit zum gefährlichsten Virus

Aktualisiert am

Es war ein Aufatmen einer ganzen Branche, ein Schrei der Erlösung  zu hören, als am 27.01 das Bundeskriminalamt verlauten lies, das sie den Virus Emotet besiegt haben. Einer größten und schadhaftesten Viren des ganzen Jahrzehnts wurde so am Dienstag gestoppt. Wir werfen einen Blick zurück auf die Geschichte von Emotet und beleuchten, was wir von diesem Virus lernen können.

Gemeinsamer Einsatz gegen den gefährlichsten Virus

Am Dienstag den 26.1.2021 gab es einen gemeinsam koordinierten Einsatz von Strafverfolgungsbehörden aus Deutschland, den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA. Diese Behörden gingen alle gemeinsam gegen die Betreiber und Infrastruktur des Virus Emotet vor.

Emotet ist ein Virus, über den wir in den letzten zwei Jahren schon mehrfach berichtet haben und gilt allgemein als einer größten Gefahren für Unternehmen im Internet. Einer der prominentesten Fälle einer Emotet Infektion stellt die Universität Gießen dar, welche von dem Virus angegriffen wurde und für Wochen ihren Betrieb teilweise einstellen musste. Auch während der zahlreichen von uns durchgeführten Awareness-Shows und Maßnahmen ging es häufig um die Prävention vor Ransomware Angriffen wie Emotet. Es gibt wohl wenig Themen in der IT-Sicherheit, die so viele Forscher, Administratoren und Sicherheitsbeauftragte bewegt hat wie Emotet.

Der Werdegang von Emotet

Der Virus Emotet, in seiner ersten Form, wurde das erste Mal im Jahr 2014 identifiziert. Seitdem hat dieser viele neue Iterationen und Funktionen erlebt und ist seitdem für unzählige Angriffe auf Unternehmen verantwortlich. Emotet wurde meist über gezielte Phishing und teils auch Spear-Phishing Kampagnen per E-Mail versendet.

Der große Unterschied von Emotet war aber, das dieser nicht direkt aktiv wurde. Dieser Virus verschlüsselte nicht sofort alle Daten, die er fand, sondern er breitete sich erst einmal gezielt im Netzwerk eines Unternehmens aus um so danach möglichst viel Schaden anrichten zu können. Dafür übernahm dieser beispielsweise E-Mail Accounts und beantwortete alle ungelesenen E-Mails. Nachdem der Virus sich weit genug im Netzwerk verbreitet hatte, man spricht hier von Lateral Movement,  verschlüsselte dieser alle Daten des Unternehmens und erpresste dieses damit.

Die internationale Zusammenarbeit vieler Strafverfolgungsbehörden war nötig, um die Infrastruktur von Emotet zu übernehmen und zu zerstören. Da Emotet mehrere hundert Server überall auf der Welt verteilt eingesetzt hat, um mittels Command & Control Servern den Virus zu steuern.

Und nun ist alles überstanden?

Bisher ist nicht bekannt, ob aller die Verantwortlichen des Virus verhaftet worden sind, Europol verwies dabei auf noch laufende Ermittlungen. Aber auch so kann es gut vorkommen, dass wir trotz des riesen Erfolgs der Strafverfolgungsbehörden Emotet nicht los geworden sind. Bei vielen bekannten Viren wie dem Mirai-Botnetz wurde im Nachhinein bekannt, das der Programmcode dieser Viren im Internet veröffentlich wurde. So konnten leider findige Kriminelle das Werk der ehemaligen Betreiber weiterführen.

Auch dies kann in ähnlicher Form bei Emotet passieren. Wir hoffen, dass die Branche nun lange Aufatmen kann, bevor sich neue Krimiminelle daran machen, das Erbe Emotet’s fortzuführen, aber dies ist leider sehr unwahrscheinlich. Daher bleibt es wohl dabei, das einzige was gegen Viren effektiv hilft sind sensibilisierte und aufmerksame Mitarbeiter.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.