Originalartikel von Erin Johnson
Für das noch junge Jahr 2021 konnte die Cybersicherheits-Community bereits eine gute Nachricht für sich verbuchen, nämlich die Zerschlagung des berüchtigten Botnets Emotet in einer koordinierten weltweiten Aktion „Operation Ladybird“. Trend Micro, der erste Sicherheitsanbieter, der 2014 den Trojaner entdeckt und ein Profil davon erstellt hatte, ist natürlich über diesen Erfolg hocherfreut. Die Zerschlagung sendet die klare Botschaft, dass Cyberkriminalität nicht ohne Konsequenzen bleibt. Dennoch stellt sich die Frage, ob es sicher ist, dass es auch die letzte Kampagne der Hintermänner war.
Werdegang von Emotet
Um eine bessere Vorstellung davon zu bekommen, wonach zu suchen ist, sollten die Akteure wieder kriminell werden, ist es sinnvoll, einen Blick auf die Ursprünge von Emotet zu werfen.
Emotet tauchte erstmals 2014 auf, und Trend Micro entdeckte damals einen relativ einfachen Banking-Trojaner, der über Phishing-E-Mails verbreitet wurde. Im Laufe der Jahre entwickelte er sich mehrfach zu einem Malware-as-a-Service-Botnet, das Zahlungswilligen Zugang zu kompromittierten Computern bot. Leider gab es viele davon, darunter Ransomware-Gruppen wie Ryuk und der Datendiebstahl-Trojaner Trickbot. Diese machten das Beste aus dem initialen von Emotet gebotenen Zugang, indem sie sich Opfer aussuchten, auf deren Systemen sie zusätzliche Payloads ablegten.
Der Erfolg von Emotet machte zweierlei deutlich:
- den anhaltenden Erfolg von relativ einfachen Phishing-Kampagnen, die zur Verbreitung der Infektion genutzt wurden.
- die zunehmende Ausgereiftheit der Cybercrime-Wirtschaft, die ihre eigene hochspezialisierte Lieferkette entwickelt.
Die Fähigkeit von Emotet, sich lateral über Geräte in einem Netzwerk zu verbreiten, machte den Schädling laut Europol auch zu einer der widerstandsfähigsten Malware der letzten Zeit. Tatsächlich wurde Emotet zu einer der größten Bedrohungen der letzten Jahre – durchgängig vorhanden in den Top 10 der entdeckten Kampagnen und mit mehr als 1,6 Millionen Opferrechnern, so das US-Justizministerium.
Aus Fehlern lernen
Seit dem Takedown im Januar hat es keinerlei Emotet-Aktivitäten mehr gegeben. Trend Micro hat immer noch einige entdeckt, denn es ist nahezu unmöglich, alle Spuren von Infektionen sofort zu beseitigen. Restinfektionen werden weiterhin gesäubert, sodass die Bedrohung allmählich eliminiert wird.
Doch die Zukunft ist weniger sicher!
Es ist immer noch nicht klar, welche Mitglieder der Bande in Gewahrsam genommen wurden und welche Ressourcen immer noch zur Verfügung stehen, um die Operationen wieder aufzunehmen. Ziemlich wahrscheinlich haben die Anführer von Emotet ihre Lektion gelernt und werden wohl kaum die gleichen Fehler wiederholen, die es den Strafverfolgungsbehörden ermöglichten, die Kontrolle über ihre Infrastruktur zu übernehmen
Die Akteure hinter Emotet sind gut vernetzt und finanziell gut ausgestattet. Es ist davon auszugehen, dass die führenden Mitglieder der Gruppe, die noch auf freiem Fuß sind, eine Partnerschaft mit einem anderen vertrauenswürdigen Akteur – möglicherweise Trickbot – eingehen werden, um einen Teil des Botnets zu erwerben und neu zu starten.
Partnerschaften für den Erfolg
Die Cybersicherheits-Community bewegt sich in die richtige Richtung. Es geht nichts über einige hochkarätige Verhaftungen und die Beschlagnahmung der gesamten Infrastruktur. Die niederländische Polizei leistet hier hervorragende Arbeit, indem sie proaktiv Nachrichten in kriminellen Foren veröffentlicht, um die Übeltäter abzuschrecken. Ein solcher Hinweis lautet: „Jeder macht Fehler. Wir warten auf eure.“
Außerdem bietet die niederländische Polizei ein Tool an, mit dem man überprüfen kann, ob sich die eigenen Kontodaten unter den 4,2 Millionen kompromittierten befinden.
Trend Micro arbeitet seit langem erfolgreich mit den Strafverfolgungsbehörden in Fällen wie diesem zusammen. Dies hat in der Vergangenheit zu einer Reihe von Verhaftungen und Verurteilungen geführt, und der Anbieter tut immer sein Möglichstes, um seine globalen Bedrohungsdaten und sein Fachwissen zu teilen, wann immer dies erforderlich ist.
Internationale Strafverfolgungspartnerschaften leisten weiterhin großartige Arbeit. Cyberkriminalität ist, ebenso wie Cybersicherheit, letztlich eine menschliche Herausforderung.