140.000 Opfer in zehn Monaten

Trickbot erweckt Emotet zu neuem Leben

Das Botnet-Duo Trickbot und Emotet beunruhigt Sicherheitsexperten. Hacker könnten die Malware nutzen, um an Weihnachten breit angelegte Ransomware-Attacken auf Unternehmen und Behörden zu fahren.
Von 
CSO | 09. Dezember 2021 09:41 Uhr
Emotet ist nicht totzukriegen. Der König der Schadsoftware kehrt zurück.
Emotet ist nicht totzukriegen. Der König der Schadsoftware kehrt zurück.
Foto: Kiselev Andrey Valerevich - shutterstock.com

Der König der Schadsoftware ist zurück. Nachdem Behörden Anfang des Jahres gemeldet hatten, das Botnet Emotet unschädlich gemacht zu haben, meldet sich die Malware nun mit aller Macht zurück. Die Sicherheitsforscher von Check Point Research (CPR) registrieren eine Wiederbelebung des berüchtigten Emotet-Botnet durch den Kollegen Trickbot. Beide Schädlinge hätten schon in der Vergangenheit eng zusammengearbeitet. So sei es nicht verwunderlich, dass die Abschaltung von Emotet nicht von langer Dauer gewesen sei. Allem Anschein nach nutzt Emotet die Infrastruktur der Trickbot-Malware, nachdem des eigene Botnet von den Sicherheitsbehörden zerstört worden war.

Emotet: Der König ist tot - lang lebe der König

Experten hatten Emotet einst als "gefährlichste Ransomware der Welt" bezeichnet. Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI) nannte das Botnet gar den "König der Schadsoftware". Der ist nun wieder zu neuem Leben erwacht - mit Hilfe von Trickbot. CPR schätzt die Zahl der Trickbot-Opfer in den vergangenen zehn Monaten auf 140 000 Menschen, verteilt auf 149 Länder. Die Zahlen seien in die Höhe geschnellt, nachdem die Behörden Emotet vom Netz genommen hatten.

Neue Emotet-Varianten

Seit Mitte November registrieren die Sicherheitsforscher neue Emotet-Varianten, die über Trickbot verbreitet werden. Sie werten dies als einen deutlichen Indikator dafür, dass eine regelrechte Flut von Ransomware-Angriffen bevorstehen könnte. Botnets werden von Ransomware-Banden dafür genutzt, Hintertüren in den IT-Infrastrukturen zu öffnen, um dadurch ihre Verschlüsselungssoftware auf den Systemen ihrer Opfer zu platzieren.

"Das Comeback von Emotet ist ein Warnzeichen bezüglich eines weiteren Anstiegs der Ransomware-Angriffe im Jahr 2022", warnt Lotem Finkelstein, Head of Threat Intelligence bei Check Point Software. Trickbot, der stets mit Emotet zusammengearbeitet habe, erleichtere die Wiederkunft des Botnet und helfe diesem bei der Verbreitung. "In nur zwei Wochen wurde Emotet zur siebtbeliebtesten Malware weltweit". sagt Finkelstein. Der Security-Experte beruft sich dabei auf eine eigene globale Top-Malware-Liste.

Finkelstein rät, mit Emotet- und Trickbot-Infektionen so umzugehen, als handele es sich um die Ransomware selbst. Andernfalls sei es nur eine Frage der Zeit, bis es zu einem echten Ransomware-Angriff kommt. "Emotet war das stärkste Botnet in der Geschichte der Cyber-Kriminalität", stellt der Sicherheitsforscher fest. "Nun hat es sein starkes Fundament an andere Hacker verkauft, um die Malware schnell zu verbreiten."

BSI warnt vor Weihnachts-Attacken

Erst vor wenigen Tagen hatten das BSI und das Bundeskriminalamt vor einem erhöhten Risiko für Cyber-Angriffe anlässlich der bevorstehenden Weihnachtsfeiertage gewarnt. "Wir sehen deutliche Anzeichen für eine zunehmende Bedrohung durch Emotet und daraus folgende Ransomware-Angriffe in Deutschland", sagte Schönbohm. Insbesondere Feiertage, Urlaubszeiten und Wochenenden seien in der Vergangenheit wiederholt für solche Angriffe genutzt worden, da viele Betriebe dann weniger reaktionsfähig seien. Schönbohm mahnte: "Jetzt ist die Zeit, entsprechende Schutzmaßnahmen umzusetzen!"

Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP; Betreuung von News und Titel-Strecken in der Print-Ausgabe der COMPUTERWOCHE.