Anzeige

BKA: Infrastruktur der Schadsoftware Emotet zerschlagen

Die Generalstaatsanwaltschaft Frankfurt am Main und das Bundeskriminalamt (BKA) haben laut eigener Aussagen im Rahmen einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA die Infrastruktur der Schadsoftware Emotet mit Unterstützung von Europol und Eurojust übernommen und zerschlagen.

Emotet galt als derzeit gefährlichste Schadsoftware weltweit und hat auch in Deutschland neben Computern zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert.

Emotet befiel Rechner, lud Software nach und machte gekaperte PCs zu Teilen eines Botnetzes. Auf den Rechnern gab es nicht nur Fehlfunktionen, es wurden auch Daten für Online-Banking ausgespäht sowie Passwörter, ferner wurden Opfer-PCs auch verschlüsselt, der Nutzer damit erpresst.

Alleine in Deutschland ist durch Infektionen mit der Malware Emotet oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden, so das BKA.

Durch die Übernahme der Kontrolle über die Emotet-Infrastruktur war es möglich, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen. Um den Tätern jegliche Möglichkeit zu nehmen, die Kontrolle zurück zu erlangen, wurde die Schadsoftware auf den Opfersystemen in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst, dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können.

Das BSI benachrichtigt die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Provider werden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stellt das BSI Informationen zur Bereinigung betroffener Systeme zur Verfügung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

10 Kommentare

  1. Meine Güte, wie dir das als Erfolg vermarkten. Als ob die den Atomkoffer erobert hätten.
    Der Emotet Fork yx schmunzelt und macht weiter…
    Aber wenn man erklären würde dass ein paar geänderte Bytes ausreichen um einen Fork für die gängige Schlangenöl unsichtbar zu machen, nur sauber konfigurierte Systeme, geschulte Anwender, Open Source statt MS Monokultur usw.
    Man würde nur die Bevölkerung verunsichern.

    • Was soll man zu so einem Kommentar sagen…
      Natürlich ist es ein Erfolg diese Infrastruktur zu zerschlagen, ganz unabhängig davon, ob das veränderte Versionen der Software betrifft oder nicht. Was weg ist, ist weg. Und das ist in dem Fall durchaus ein großer Erfolg.
      Ansonsten kommen von deiner Seite gefühlt nur die gängigen Parolen. Natürlich kann ich Schadsoftware anpassen und sie für die gängigen Methoden unauffindbar machen, dass es dazu nur ein paar Bit bedarf ist aber ziemlicher Blödsinn.
      Des Weiteren ist Open Source Software nicht einfach nur durch den Fakt, dass ihr Quellcode einsehbar ist sicherer. Dazu benötigt es regelmäßige und gründliche Audits und die gibt es für die wenigsten OS-Tools.
      Inwiefern Früherkennung von Schadsoftware Schlangenöl sein soll erschließt sich mir auch nicht.
      Einzig bei den sauber konfigurierten Systemen und den geschulten Anwendern kann ich dir zustimmen. Aber das ist auch leichter gesagt als getan. Der Angreifer braucht immer nur eine Lücke, die du übersehen hast oder einen Anwender, der einen Fehler macht.

      • therealThomas says:

        > „Des Weiteren ist Open Source Software nicht einfach nur durch den Fakt, dass ihr Quellcode einsehbar ist sicherer.“

        Ja, nur durchs angucken wird es nicht sicherer, aber ich denke man sollte nicht unterschätzen, was die Community bei beliebter Software beiträgt. Beliebte Software ist ja grade die, die ein besonders attraktives Ziel ist.
        Ist Microsoft z.B. der Meinung die Sicherheitslücke XY möchten sie nicht stopfen, obwohl bekannt, weil es ihrer Meinung nach nicht relevant genug ist, könnte im Falle von Open Source die Community das übernehmen. Man könnte sogar einen Fork erstellen und dort die Lücke stopfen, wenn der Hersteller der Software sich gänzlich dagegen wehren sollte.

      • Ist natürlich toll, wenn Du ein wunderbares Open Source-Betriebssystem hast, da beschäftigen sich jeden Tag Hunderte mit dem Quellcode, aber dann gibt es fast zehn Jahre lang eine Lücke mit enormer Tragweite, die niemand bemerkt hat, wie heute hier zu lesen war: https://www.golem.de/news/security-speicherfehler-in-sudo-ermoeglicht-root-rechte-2101-153705.html

      • Das Weg ist was weg ist, sehe ich in der Softwarewelt eher als unterhaltsam an. Es liegt in der Natur von Bits und Bytes beliebig kopiert, verändert und verschoben zu werden.
        Ja, die haben vielleicht ein paar VM heruntergefahren. Aber wer sagt das da nicht noch ein paar andere VM als Backup schlummern? Oder ein nicht erkannter 2. Weg Emotet zu steuern hinterlegt ist?
        Wenn da nicht unwissende Scriptkiddies hinter Emotet stecken, werden die Verantwortlichen schon Backuppläne haben.
        Also wer sagt das hier ein Erfolg zu verzeichnen ist? Man kann es halt nicht zu 100% prüfen und wissen. Ich bin da grundsätzlich Misstrauisch.

        > „Ansonsten kommen von deiner Seite gefühlt nur die gängigen Parolen.“
        Wenn es halt stimmt, kann man es nur wiederholen.

        > „Natürlich kann ich Schadsoftware anpassen und sie für die gängigen Methoden unauffindbar machen, dass es dazu nur ein paar Bit bedarf ist aber ziemlicher Blödsinn.“
        Platt gesagt, ist das so. Schlangenöl ist Prinzipbedingt nur in der Lage zu erkennen was man ihr bekannt gemacht hat. Mit ein paar geänderten Bits kannst du schon diese Erkennung aushebeln. Software ist grundsätzlich doof. Und wenn du der sagst, scanne nach 00101 und da steht 10100, findet der Scan nix.

        > „Des Weiteren ist Open Source Software nicht einfach nur durch den Fakt, dass ihr Quellcode einsehbar ist sicherer. Dazu benötigt es regelmäßige und gründliche Audits und die gibt es für die wenigsten OS-Tools.“
        Allein die Möglichkeit den Quellcode einzusehen macht die Software sicherer. Natürlich hast du mit den Audits recht. Aber immerhin besteht die Möglichkeit.
        Bei Closed Source muss man auf das Versprechen der Hersteller bauen.

        > „Inwiefern Früherkennung von Schadsoftware Schlangenöl sein soll erschließt sich mir auch nicht.“
        Schlangenöl ist Schlangenöl und Früherkennung ist Voodoo (auch raten genannt)
        Mal davon abgesehen das in letzter Zeit die Schadsoftware das Schlangenöl als Angriffsziel ausnutzt, da dieses sich meist weitreichende Privilegien gewährt und damit das zu schützende Ziel noch weiter öffnet als vorher.

        > „Einzig bei den sauber konfigurierten Systemen und den geschulten Anwendern kann ich dir zustimmen. Aber das ist auch leichter gesagt als getan. Der Angreifer braucht immer nur eine Lücke, die du übersehen hast oder einen Anwender, der einen Fehler macht.“
        Richtig. Der Mensch ist eines der stärksten Einfallstore. Aber das ist keine Entschuldigung.

        • >“Wenn es halt stimmt, kann man es nur wiederholen.“
          Die Sache ist halt, dass es nicht stimmt. Zumindest nicht in der Absolutheit wie du das hier postulierst.

          >“Platt gesagt, ist das so. […]“
          Nein, ist es nicht. Zumindest nicht, wenn wir von Heuristik und Verhaltensanalyse von Programmen reden. Und kein vernünftiges Tool zur Schadsoftwareerkennung verlässt sich heute nur auf einen Signaturabgleich.

          >“Richtig. Der Mensch ist eines der stärksten Einfallstore. Aber das ist keine Entschuldigung.“
          Doch ist es. Ab einem gewissen Punkt hat man aus Betreibersicht alles getan. Es gibt einen niedrigen zweistelligen Porzentsatz an Usern, die, egal wie gut sie geschult werden, einen Fehler machen werden. Das kann man in meinen Augen aber nicht dem Betreiber anlasten. Menschen sind Menschen und machen eben Fehler, das lässt sich nicht verhindern.

    • Er hat damit recht. Brint halt nicht viel eine Infrastruktur lahm zu legen, da es so viele andere Schädlinge gibt die ähnlich gefährlich sind.

  2. Trauriger Fall, aber was ist schon ein Schaden von 14,5 Mio gegen die Schadsoftware, die über Solarwinds verbreitet wurde.

    „Wer zum Beispiel bei einem Energieversorger in die Netzwerke eindringen kann und darüber hinaus auch noch Zugriff auf Netze der Sicherheitsbehörden hat, der kann nicht nur für einige Stunden gezielt in einigen Städten oder sogar bundesweit den Strom abschalten.
    Nein, der kann viel mehr. Er kann nämlich die Maßnahmen zum Wiederhochfahren der Stromnetze nachhaltig manipulieren und sabotieren. Tagelange Ausfälle wären die Folge.“

    https://www.zdf.de/nachrichten/digitales/solarwinds-hack-it-netzwerk-100.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.