BKA-Erfolgsmeldung: Emotet-Infrastruktur zerschlagen

Emotet galt noch vor Kurzem als gefährlichste Schadsoftware weltweit

[datensicherheit.de, 27.01.2021] Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben nach eigenen Angaben am 26. Januar 2021 „im Rahmen einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA die Infrastruktur der Schadsoftware ,Emotet‘ mit Unterstützung von Europol und Eurojust übernommen und zerschlagen“.

Foto: BKA (Screenshot)

BKA-Präsident Holger Münch: Infrastruktur der Emotet-Schadsoftware zerschlagen

Downloader Emotet konnte unbemerkt ein Opfersystem infizieren

„Emotet“ habe als derzeit gefährlichste Schadsoftware weltweit gegolten und auch in Deutschland neben Computern Zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert, wie beispielsweise die des Klinikums Fürth, des Kammergerichts Berlin, der Bundesanstalt für Immobilienaufgaben (BImA) oder der Stadt Frankfurt am Main.
Als sogenannter Downloader habe „Emotet“ die Funktion besessen, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen Botnetzes sei zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy“ gegen Entgelt angeboten worden.
Deshalb könne das kriminelle Geschäftsmodell mit „Emotet“ als „Malware-as-a-Service“ bezeichnet werden. Es habe weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe geboten. Alleine in Deutschland sei durch Infektionen mit der Malware „Emotet“ oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.

Ermittlungen von ZIT und BKA gegen Emotet-Betreiber seit August 2018

Die Ermittlungen von ZIT und BKA gegen die Betreiber der Schadsoftware „Emotet“ und des Emotet-Botnetzes wegen des „Verdachts des gemeinschaftlichen gewerbsmäßigen Computerbetruges und anderer Straftaten“ werden demnach seit August 2018 geführt.
Im Rahmen dieses Ermittlungsverfahrens seien zunächst in Deutschland verschiedene Server identifiziert worden, „mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschlüsselter Kommunikation kontrolliert und gesteuert werden“.
Umfangreiche Analysen der ermittelten Daten hätten zu der Identifizierung weiterer Server in mehreren europäischen Staaten geführt. „So konnten im Wege der internationalen Rechtshilfe weitere Daten erlangt und die ,Emotet‘-Infrastruktur durch Beamte des BKA und der internationalen Partnerdienststellen immer weiter aufgedeckt werden.“

Zugriff der Täter auf Emotet-Infrastruktur unterbunden

Da sich die auf diese Weise identifizierten Bestandteile der „Emotet“-Infrastruktur in mehreren Ländern befänden, seien die Maßnahmen zum „Takedown“ am 26. Januar 2021 auf Initiative von ZIT und BKA in enger Kooperation mit den betroffenen internationalen Strafverfolgungsbehörden durchgeführt worden.
Beamte des BKA sowie Staatsanwälte der ZIT hätten dabei in Deutschland bisher bereits 17 Server beschlagnahmt. Daneben seien auf Ersuchen der deutschen Strafverfolgungsbehörden auch in den Niederlanden, in Litauen und in der Ukraine im Rahmen von internationalen Rechtshilfemaßnahmen weitere Server beschlagnahmt worden.
Durch dieses von Europol und Eurojust koordinierte Vorgehen sei es nicht nur gelungen, den Zugriff der Täter auf die „Emotet“-Infrastruktur zu unterbinden. Auch umfangreiche Beweismittel seien gesichert worden. Zudem habe im Rahmen der Rechtshilfemaßnahmen in der Ukraine bei einem der mutmaßlichen Betreiber die Kontrolle über die „Emotet“-Infrastruktur übernommen werden können.

Emotet auf betroffenen deutschen Opfersystemen für Täter unbrauchbar gemacht

Durch die Übernahme der Kontrolle über die „Emotet“-Infrastruktur sei es möglich gewesen, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen. Um den Tätern jegliche Möglichkeit zu nehmen, die Kontrolle zurückzuerlangen, sei die Schadsoftware auf den Opfersystemen in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst worden, „dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können“.
Die dabei erlangten Informationen über die Opfersysteme wie z.B. öffentliche IP-Adressen würden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt. Das BSI benachrichtige die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Provider würden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stelle das BSI Informationen zur Bereinigung betroffener Systeme zur Verfügung.
Für ZIT und BKA stelle das Zerschlagen der „Emotet“-Infrastruktur einen „bedeutenden Schlag“ gegen die international organisierte Internetkriminalität und zugleich eine wesentliche Verbesserung der Cyber-Sicherheit in Deutschland dar.

Weitere Informationen zum Thema:

Bundeskriminalamt BKA, 27.01.2021
Pressestatement von BKA-Präsident Holger Münch / Infrastruktur der Emotet-Schadsoftware zerschlagen

Bundeskriminalamt BKA
Die wichtigsten Fragen und Antworten rund um die Schadsoftware „Emotet“

datensicherheit.de, 22.10.2020
Emotet: Varianten ohne Ende / Explosionsartige Ausbreitung von Emotet im ersten Halbjahr 2020 mit mehr als 27.800 neuen Varianten

datensicherheit.de, 17.08.2020
Wie Phoenix aus der Asche: Schadsoftware Emotet zurück / Der Trojaner wurde modifiziert und kann nun E-Mail-Inhalte von infizieren Rechnern auslesen

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails