Botnet Emotet meldet sich zurück

Emotet, einst als „gefährlichste Malware der Welt“ bezeichnet, ist offenbar wieder zurück – und wird auf Windows-Systemen installiert, die mit der TrickBot-Malware infiziert sind. Eigentlich war das Botnet Anfang des Jahres im Rahmen einer internationalen Polizeiaktion zerschlagen worden.

Die Emotet-Malware verschafft ihren Hintermännern einen Zugang zu kompromittierten Rechnern, die an andere Gruppen, einschließlich Ransomware-Banden, vermietet werden, um sie für ihre eigenen Kampagnen zu nutzen. Emotet nutzt die infizierten Systeme auch zum Versenden automatisierter Phishing-E-Mails, um das Botnet zu vergrößern.

Doch nun warnen Forscher mehrerer Cybersicherheitsunternehmen, dass Emotet zurückgekehrt ist. „Wir haben bei mehreren unserer Trickbot-Tracker beobachtet, dass der Bot versuchte, eine DLL auf das System herunterzuladen. Nach interner Bearbeitung wurden diese DLLs als Emotet identifiziert. Da das Botnetz Anfang des Jahres abgeschaltet wurde, waren wir jedoch misstrauisch und führten eine erste manuelle Überprüfung durch“, schreibt Luca Ebach, Sicherheitsforscher bei G Data, in einem Blogbeitrag. „Derzeit sind wir sehr zuversichtlich, dass es sich bei den Proben tatsächlich um eine Reinkarnation des berüchtigten Emotet handelt.

Derzeit versucht Emotet nicht, sich selbst weiterzuverbreiten, sondern verlässt sich auf TrickBot, um neue Infektionen zu verbreiten – aber es deutet darauf hin, dass die Hintermänner von Emotet versuchen, das Botnet wiederzubeleben. „Die Beziehung zwischen dieser neuen Variante und dem alten Emotet zeigen Code- und Techniküberschneidungen“, erklärte James Shank, Senior Security Evangelist bei Team Cymru, gegenüber ZDNet.com. Sein Sicherheitsunternehmen wirkte im Januar bei der Zerschlagung von Emotet mit.