Ist EMOTET am Ende? Ja. Aber seine Nachfolger sind bereits in den Startlöchern.

Das Geschäft mit digitaler Erpressung ist viel zu lukrativ, als dass wir mit der Zerschlagung von EMOTET jetzt Ruhe hätten.

Am 6. Januar traf EMOTET noch die Kantonspolizei Bern. Kurze Zeit später meldet Europol, dass das EMOTET -Netzwerk zerschlagen sei:

Ein Video der ukrainischen Polizei zeigt, wie sie eines der vielen Büros der EMOTET-Betreiber stürmt und anschliessend Goldbarren und Bargeld zählt. Der Einsatz von Schadsoftware mit anschliessender Erpressung ist offensichtlich ein lukratives Geschäft, weil die meisten Betroffenen entgegen den Empfehlungen das geforderte Lösegeld bezahlen. Wie EMOTET funktioniert, habe ich in früheren Blogs erläutert.

Auch wenn das Netzwerk zerschlagen ist, sind weiterhin tausende, wenn nicht gar hunderttausende von Geräten mit EMOTET infiziert. Die Schadsoftware wartet auf den befallenen Geräten, bis wieder eine Kommandozentrale (Command and Control Server) mit ihnen Kontakt aufnimmt. Die Strafverfolgungsbehörden wollen diese Tatsache nutzen, um die Schadsoftware auf den Geräten zu finden; Mitte April 2021 soll dann über die beschlagnahmten Kommandozentralen alle Schadsoftware kontaktiert und anschliessend gelöscht werden. Bis dahin sammeln die Behörden die Lauschsignale der Schadsoftware, um die befallenen Geräte lokalisieren zu können. Die dadurch eruierten zuständigen Internetprovider werden informiert und gebeten, ihre betroffenen Endbenutzer zu informieren.

Was sollen betroffene Unternehmen tun?

Falls ein Unternehmen von seinem Internetprovider über befallene Geräte informiert wird, sollte es diese sofort vollständig neu installieren. EMOTET installiert sogenannte Hintertüren, sodass die Erpresser auch ohne Schadsoftware auf das Gerät zugreifen können. Ohne eine vollständig neue Installation lassen sich diese Hintertüren in der Regel nicht schliessen. Insbesondere schliesst die Löschung von EMOTET auf dem Gerät die Hintertüren nicht. Die betroffenen Unternehmen sollten zudem zusammen mit einem Spezialisten vor Mitte April ihre komplette Informatikumgebung analysieren. Da EMOTET mit der Kontaktaufnahme zu den Kontrollzentren laufend Spuren hinterlässt, kann die Spurensuche vor Mitte April viel zielgerichteter erfolgen; nach der Löschung von EMOTET gleicht sie eher einem Fischen im Trüben.

Müssen auch nicht betroffene Unternehmen Massnahmen ergreifen?

Falls ein Unternehmen von EMOTET nicht betroffen ist, gilt es trotzdem, diese in Bezug auf Schadsoftware ruhigere Zeit zu nutzen, um sich auf die nächsten Angriffswellen vorzubereiten. Es wird nur wenige Monate dauern, bis uns die nächsten Wellen mit Erpressungssoftware erreichen.

Mein Fazit:

Falls Ihr Netzbetreiber Sie darüber informiert, dass Sie von EMOTET betroffen sind, holen Sie sich Hilfe von Spezialisten und lassen Sie Ihre ganze Informatikinfrastruktur sofort analysieren. Und bereiten Sie sich in jedem Fall auf die nächsten Schadsoftwarewellen vor.

Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).