[datensicherheit.de, 27.01.2021] Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben nach eigenen Angaben am 26. Januar 2021 „im Rahmen einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA die Infrastruktur der Schadsoftware ,Emotet‘ mit Unterstützung von Europol und Eurojust übernommen und zerschlagen“.

Foto: BKA (Screenshot)

BKA-Präsident Holger Münch: Infrastruktur der Emotet-Schadsoftware zerschlagen

Downloader Emotet konnte unbemerkt ein Opfersystem infizieren

„Emotet“ habe als derzeit gefährlichste Schadsoftware weltweit gegolten und auch in Deutschland neben Computern Zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert, wie beispielsweise die des Klinikums Fürth, des Kammergerichts Berlin, der Bundesanstalt für Immobilienaufgaben (BImA) oder der Stadt Frankfurt am Main.
Als sogenannter Downloader habe „Emotet“ die Funktion besessen, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen Botnetzes sei zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy“ gegen Entgelt angeboten worden.
Deshalb könne das kriminelle Geschäftsmodell mit „Emotet“ als „Malware-as-a-Service“ bezeichnet werden. Es habe weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe geboten. Alleine in Deutschland sei durch Infektionen mit der Malware „Emotet“ oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.

Ermittlungen von ZIT und BKA gegen Emotet-Betreiber seit August 2018

Die Ermittlungen von ZIT und BKA gegen die Betreiber der Schadsoftware „Emotet“ und des Emotet-Botnetzes wegen des „Verdachts des gemeinschaftlichen gewerbsmäßigen Computerbetruges und anderer Straftaten“ werden demnach seit August 2018 geführt.
Im Rahmen dieses Ermittlungsverfahrens seien zunächst in Deutschland verschiedene Server identifiziert worden, „mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschlüsselter Kommunikation kontrolliert und gesteuert werden“.
Umfangreiche Analysen der ermittelten Daten hätten zu der Identifizierung weiterer Server in mehreren europäischen Staaten geführt. „So konnten im Wege der internationalen Rechtshilfe weitere Daten erlangt und die ,Emotet‘-Infrastruktur durch Beamte des BKA und der internationalen Partnerdienststellen immer weiter aufgedeckt werden.“

Zugriff der Täter auf Emotet-Infrastruktur unterbunden

Da sich die auf diese Weise identifizierten Bestandteile der „Emotet“-Infrastruktur in mehreren Ländern befänden, seien die Maßnahmen zum „Takedown“ am 26. Januar 2021 auf Initiative von ZIT und BKA in enger Kooperation mit den betroffenen internationalen Strafverfolgungsbehörden durchgeführt worden.
Beamte des BKA sowie Staatsanwälte der ZIT hätten dabei in Deutschland bisher bereits 17 Server beschlagnahmt. Daneben seien auf Ersuchen der deutschen Strafverfolgungsbehörden auch in den Niederlanden, in Litauen und in der Ukraine im Rahmen von internationalen Rechtshilfemaßnahmen weitere Server beschlagnahmt worden.
Durch dieses von Europol und Eurojust koordinierte Vorgehen sei es nicht nur gelungen, den Zugriff der Täter auf die „Emotet“-Infrastruktur zu unterbinden. Auch umfangreiche Beweismittel seien gesichert worden. Zudem habe im Rahmen der Rechtshilfemaßnahmen in der Ukraine bei einem der mutmaßlichen Betreiber die Kontrolle über die „Emotet“-Infrastruktur übernommen werden können.

Emotet auf betroffenen deutschen Opfersystemen für Täter unbrauchbar gemacht

Durch die Übernahme der Kontrolle über die „Emotet“-Infrastruktur sei es möglich gewesen, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen. Um den Tätern jegliche Möglichkeit zu nehmen, die Kontrolle zurückzuerlangen, sei die Schadsoftware auf den Opfersystemen in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst worden, „dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können“.
Die dabei erlangten Informationen über die Opfersysteme wie z.B. öffentliche IP-Adressen würden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt. Das BSI benachrichtige die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Provider würden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stelle das BSI Informationen zur Bereinigung betroffener Systeme zur Verfügung.
Für ZIT und BKA stelle das Zerschlagen der „Emotet“-Infrastruktur einen „bedeutenden Schlag“ gegen die international organisierte Internetkriminalität und zugleich eine wesentliche Verbesserung der Cyber-Sicherheit in Deutschland dar.

Weitere Informationen zum Thema:

Bundeskriminalamt BKA, 27.01.2021
Pressestatement von BKA-Präsident Holger Münch / Infrastruktur der Emotet-Schadsoftware zerschlagen

Bundeskriminalamt BKA
Die wichtigsten Fragen und Antworten rund um die Schadsoftware „Emotet“

datensicherheit.de, 22.10.2020
Emotet: Varianten ohne Ende / Explosionsartige Ausbreitung von Emotet im ersten Halbjahr 2020 mit mehr als 27.800 neuen Varianten

datensicherheit.de, 17.08.2020
Wie Phoenix aus der Asche: Schadsoftware Emotet zurück / Der Trojaner wurde modifiziert und kann nun E-Mail-Inhalte von infizieren Rechnern auslesen

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails

[datensicherheit.de, 27.07.2016] Cyber-Kriminalität stellt die Strafverfolgungsbehörden vor große Herausforderungen, kennt sie doch keine Landesgrenzen, Mauern oder abgeschlossene Türen – sie findet überall dort statt, wo Menschen Computer und Smartphones nutzen. Nach aktuellen Angaben des Bundeskriminalamts (BKA) wurden im Jahr 2015 über 45.000 „Cybercrime“-Fälle von der Polizei erfasst. Der hieraus entstandene Schaden belaufe sich auf über 40 Millionen Euro.

Höhe Dunkelziffer bei Cyber-Kriminalitätsfällen

Das „Dunkelfeld“ sei groß, denn polizeiliche Statistiken bildeten nur einen kleinen Ausschnitt der tatsächlichen Dimension der Cyber-Kriminalität ab. Die Täter gingen dabei dezentral vor, kämen in kleinen Gruppen online zusammen, begingen Straftaten und trennten sich wieder.
Aber auch längerfristige Zusammenschlüsse im Sinne klassischer Organisierter Kriminalität (OK) nähmen zu. Sei in Deutschland im Jahr 2013 noch gegen sechs OK-Gruppierungen ermittelt worden, seien es 2015 schon 22 gewesen.

„Crime-as-a-service“ für „Kunden“ ohne ausreichende IT-Kenntnisse

Unter dem Schlagwort „Crime-as-a-service“ bieten die Täter demnach zwischenzeitlich ihr Know-how auch anderen Kriminellen an, quasi „Kriminalität auf Bestellung“. Personen ohne technische Kenntnisse könnten auf diese Weise „Cybercrime“-Delikte, wie DDos-Attacken, Datendiebstähle oder Ransomware-Infektionen begehen. Besonders perfide sei die Variante der Krypto-Ransomware – die Dateien der Opfer würden dabei verschlüsselt, der Rechner sei nicht mehr nutzbar und ein Countdown auf dem Computerbildschirm zeige an, wann Dateien – beispielsweise Fotos und Musik – gelöscht werden, sollte das Opfer kein Lösegeld zahlen.
Auf den digitalen Schwarzmärkten („Underground Economy“) werden laut BKA aber nicht nur kriminelle Dienstleistungen angeboten. Aufgrund der Anonymisierungsmöglichkeiten und der Zugangsmöglichkeiten mit ausschließlich spezieller Software, seien diese Online-Marktplätze bei Kriminellen immer beliebter. Neben Rauschgift und Falschgeld würden auch gestohlene Kreditkartendaten oder Waffen gehandelt und verkauft.

Digitale Identität als begehrtes Diebesgut

Die digitale Identität sei immer noch ein begehrtes Diebesgut. An die Internet-Nutzerdaten gelangten die Täter über Trojaner oder Phishing-Attacken. Die gestohlenen Daten würden über illegale Verkaufsplattformen veräußert oder für die eigenen kriminellen Zwecke genutzt. Hätten die Täter beispielsweise Kontoanmeldeinformationen – E-Mail-Adresse und Passwort – erhalten, könnten sie Waren im Internet kaufen oder Überweisungen tätigen.
Bei der Bekämpfung der „Cybercrime“ kombinierten sie Ermittlungsansätze der digitalen und der analogen Welt, erläutert BKA-Präsident Holger Münch. „Verdeckte Ermittler gewinnen auch im Netz Informationen. Immer wieder identifizieren wir illegale Online-Marktplätze im Darknet und überführen deren Betreiber. Das Internet ist kein strafverfolgungsfreier Raum“, betont Münch. Für eine effektive Bekämpfung der „Cybercrime“ sei es wichtig, dass jede Straftat angezeigt wird. Die Analyse der Straftaten liefere ihnen weitere Ermittlungsansätze und helfe, die Präventionsarbeit zu verbessern. „Bei unserer Arbeit setzen wir auf ein starkes nationales und internationales Netzwerk zwischen Behörden, Wirtschaft und Wissenschaft“, unterstreicht der BKA-Präsident.

Weitere Informationen zum Thema:

Bundeskriminalamt
Bundeslagebild Cybercrime 2015 / Download (pdf/705 KB)