Deinstallation am 25. März

Update: Emotet-Malware zerstört sich selbst

Uhr
von Yannick Chavanne und Milena Kälin und Niara Sakho und slo, cka

Europol hat die Entschärfung von Emotet, eines der schädlichsten Botnets der vergangenen Jahre, bekannt gegeben. Dies gelang durch eine koordinierte, internationale Aktion. Die Malware wurde nun automatisch von infizierten Rechnern gelöscht.

(Source: akindo / iStock.com)
(Source: akindo / iStock.com)

Update vom 26.04.2021: Seit vergangenem Sonntag ist die Emotet-Malware Geschichte. Am Sonttag, dem 25. März wurde der Schädling automatisch von sämtlichen Infizierten Systemen entfernt, wie The Register berichtet. Der für diese DLL-Zeitbombe benötigte Code wurde Ende Januar in einem internationalen Polizeieinsatz über die beschlagnahmte Command-and-Control-Infrastruktur (C2) der Malware verteilt.

Bereits am vorherigen Freitag zeigte die Malware-Tracker-Website Abuse.ch, dass keine der Emotet-C2-Server mehr online war. Cybersecurity-Anbieter Malwarebytes bestätigte am Sonntag, dass sich die aktualisierte Emotet-Installation tatsächlich wie erwartet vollständig entfernt hat.

Originalmeldung vom 28.01.2021: Europol legt Banking-Trojaner Emotet lahm

Emotet, eines der schädlichsten Malware-Programme der vergangenen Jahre, ist gemäss Europol am 27. Januar entschärft worden. Die Ermittler übernahmen die Kontrolle über die Infrastruktur des Botnets im Rahmen einer koordinierten, internationalen Aktion. Daran waren Behörden in den Niederlanden, Deutschland, den Vereinigten Staaten, Grossbritannien, Frankreich, Litauen, Kanada und der Ukraine beteiligt.

Die Infrastruktur von Emotet basiert auf mehreren hundert Servern, die über die ganze Welt verteilt sind, wie Europal erklärt. Alle Server seien mit unterschiedlichen Funktionen ausgestattet und dienten vor allem dazu, das Netzwerk widerstandsfähiger gegen Demontageversuche zu machen. Nach einer langwierigen Untersuchung sei das Botnet von innen heraus zerlegt worden. Die infizierten Computer der Malware-Opfer seien auf Server umgeleitet worden, die von Strafverfolgungsbehörden kontrolliert wurden. Gemäss "bleeping-computer.com" soll sich die Malware am 25. März 2021 selbst deinstallieren. Warum die Behörden zwei Monate auf die Deinstallation der Malware warten, sei nicht bekannt. Es wurden Server in Deutschland, den Niederlanden, Litauen und der Ukraine beschlagnahmt, wie es in einer Mitteilung der Bundespolizei heisst.

Polymorpher Banking-Trojaner

Emotet, 2014 erstmals als Banking-Trojaner entdeckt, ist polymorph, wie Europol betont. Das bedeutet, dass sich Emotet permanent verändert. Auch deshalb hat sich Malware im Laufe der Jahre zum Mittel der Wahl für Cyberkriminelle entwickelt. Die Betrüger verbreiteten Emotet über infizierte E-Mail-Anhänge. Sobald ein System infiziert war, wurde der Zugang oft an andere Cyberkriminelle verkauft, um Datendiebstahl oder Erpressung über Ransomware zu begehen, wie Europol mitteilt.

Einer Studie von Check Point von Anfang 2020 zufolge, ist Emotet der schädlichste Virus in der Schweiz. Im Jahr 2019 wurde der Trojaner unter anderem für den Angriff auf das Krankenhaus in Wetzikon bei Zürich eingesetzt. Ende 2020 gab das National Centre for Cybersecurity (NCSC) bekannt, dass die Botnet-Aktivitäten wieder zunehmen, insbesondere um Arbeitsplätze und Firmennetzwerke mit der Lösegeld-Software Ryuk zu infizieren.

Erst gerade Anfang Januar warnte die Kantonspolizei Zürich vor Emotet. Betrüger würden E-Mails im Namen der Bank oder Polizei verschicken. Darin sei ein ZIP-Dokument mit verstecktem Emotet enthalten gewesen.

Webcode
DPF8_204806