Emotet-Botnet kehrt nach fünfmonatiger Pause zurück

Die aktuelle Kampagne richtet sich gegen Nutzer in den USA und Großbritannien. Sie erhalten Spam-Nachrichten mit einer schädlichen Word-Datei. Diese installiert den Emotet-Trojaner.

Emotet, das aktivste Botnetz des Jahres 2019, hat sich zurückgemeldet. Nach Angaben des Sicherheitsanbieters Proofpoint sind die drei Server-Cluster, die als Epoch 1, Epoch 2 und Epoch 3 bezeichnet werden, wieder aktiv. Aktuell verbreiten sie Spam-E-Mails in englischer Sprache und versuchen, neue Nutzer mit der Emotet-Malware zu infizieren.

„Die heutige Kampagne betrifft bisher in erster Linie Empfänger in den USA und Großbritannien“, sagte Sherrod DeGrippo, Senior Director für Threat Research bei Proofpoint. „Die Nachrichten enthalten entweder einen Word-Dateianhang oder einen Link, um das Word-Dokument herunterzuladen, das schädliche Macros enthält und, falls vom Nutzer aktiviert, Emotet herunterlädt und installiert.“ Bisher seien etwa 80.000 Nachrichten verschickt worden.

Eine Gruppe von Sicherheitsforschern namens Cryptolaemus, die sich ebenfalls mit Emotet beschäftigt hat, bestätigte das Comeback des Botnets. Auch Sicherheitsanbieter wie CSIS, Microsoft, Malwarebytes, Abuse.ch und Spamhaus beobachten die neuen Aktivitäten.

Vor der vorübergehenden Abschaltung von Emotet Anfang Februar galt Emotet nicht nur als aktivstes Botnetz, sondern auch als größte Cybercrime-Operation. Die Hintermänner nutzen ihre E-Mail-Infrastruktur, um Nutzer mit dem Emotet-Trojaner zu infizieren. Darüber schleusen sie weitere Schadsoftware ein, entweder um ihre eigenen Interessen zu verfolgen oder im Auftrag Dritter, denen sie beispielsweise den Zugang zu infizierten Hosts vermieten. Zu den Auftraggebern gehörten bisher unter anderem mehrere Ransomware-Gangs sowie die Trickbot Betreiber.

Erpressersoftware verbreitete Emotet zuletzt unter anderem in den Niederlanden und Deutschland. Dort wird Emotet infolgedessen als ähnlich großes Risiko eingestuft wie Ransomware. Betroffen Unternehmen und Organisationen, die einen mit Emotet infizierten Host finden, sollten das System isolieren und ihr Netzwerk vom Internet trennen. Diese Maßnahme ist laut Sicherheitsexperten notwendig, um eine weitere Verbreitung der Ransomware zu verhindern.

Es ist nicht das erste Mal, dass Emotet wiederbelebt wurde. Schon von Mai bis September 2019 stellte das Botnet seinen Betrieb ein.

ANZEIGE

So schützen Sie Ihre Unternehmensdaten vor Ransomware

Angriffe durch Cyberkriminelle schaden nicht nur dem Image des attackierten Unternehmens, sondern stellen in vielen Fällen auch eine finanzielle Belastung dar. Inzwischen erreicht die jährliche Schadenssumme mehrere Milliarden Euro. Erfahren Sie in diesem Webinar, wie Sie Ihr Unternehmen gegenüber Ransomware-Angriffen immunisieren.

Themenseiten: Trojaner

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Emotet-Botnet kehrt nach fünfmonatiger Pause zurück

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *