Emotet: Erste Angriffswelle nach fünfmonatiger Pause

Nach mehrmonatiger Pause haben Forscher eine neue Emotet-Angriffswelle beobachtet. Die Ziele lagen vor allem in den USA sowie im Vereinigten Königreich.
Emotet: Erste Angriffswelle nach fünfmonatiger Pause

Zum ersten Mal seit Anfang Februar 2020 gehen vom Bot-Netz Emotet wieder Angriffswellen aus. Zunächst lagen die Ziele vorwiegend in den USA sowie im Vereinigten Königreich. An der Art und Weise der Angriffe hat sich seit den zahlreichen Attacken im Jahr 2019 nichts geändert. Per E-Mail erhalten die Empfänger Word-Dokumente oder Links zu solchen mit der Bitte, diese zu öffnen. Sind auf dem Zielrechner Makros erlaubt, aktiviert dies die im Dokument enthaltenen infizierten Makros, die dann Emotet selbsttätig installieren.
 

Bis zum Abend des 17. Juli seien nach Schätzung der IT-Sicherheitsexpertin Sherrod DeGrippo rund 80.000 solcher E-Mails verschickt worden, wie ZDNet berichtet. Experten zufolge seien die Mitteilungen zu allen drei bekannten Emotet-Clustern – Epoch 1, 2 und 3 – zurück verfolgbar. Im Vorfeld der neuen Welle hätten Beobachter lediglich kleinere Testläufe entdeckt, so Bleeping Computer. Diese E-Mails hätten jedoch veraltete Links respektive Dateien mit nicht mehr funktionierenden URLs enthalten.
 

Die Absichten sind noch unbekannt

Welche Schadsoftware Emotet im Zuge der neuen Welle im Einzelnen auf den infizierten Rechnern installiert, ist bislang nicht bekannt. Zuletzt ging es dabei vor allem um die Verschlüsselung von Daten – erst nach der Zahlung eines Lösegeldes sollten Nutzer Zugriff darauf erhalten. Betroffen waren neben großen Unternehmen und öffentlichen Einrichtungen wie dem Berliner Kammergericht, das noch immer unter den Auswirkungen leidet, auch zahlreiche kleinere Betriebe. Die ebenfalls betroffene Verwaltung von Neustadt am Rübenberge sprach offen über den Emotet-Angriff und die daraus gezogenen Lehren.
 

Die fünfmonatige Unterbrechung nahezu sämtlicher Aktivitäten ist bereits die zweite längere Pause des Bot-Netzes. Bereits zwischen Mai und September 2019 verzeichneten Beobachter keine Angriffe. Vermutet wurde zunächst eine unbemerkte Zerschlagung des Netzwerks, was sich Mitte September 2019 als Fehlannahme entpuppte. Entsprechend ist unklar, was zu der neuerlichen Pause geführt hat. Im vergangenen März erklärten einige Cybercrime-Gangs lediglich, dass sie im Zuge der Corona-Pandemie keine Angriffe auf Krankenhäuser durchführen würden.
 

Quelle: heise.de