Emotet wurde Anfang 2021 in einer groß angelegten Polizeiaktion zerschlagen und ist nun in einer neuen Version wieder da... Noch gefährlicher?
Nach Ansicht vieler IT-Sicherheitsexperten war die Emotet-Malware seit ihrem ersten Auftauchen im Laufe des Jahres 2014 die größte Bedrohung, bis sie am 27. Januar dieses Jahres von Europol zerschlagen wurde. Die Polizei hatte nach einem Anstieg der Malware-Aktivitäten im Herbst 2020 beschlossen zu handeln, und es war ihr gelungen, die Ausbreitung der Malware nicht nur zu stoppen, sondern sogar deutlich zurückzudrängen. Ein trügerischer Erfolg.
Dies ist unser dritter Jahrestag von Cryptolaemus1. Danke für all das Folgen und Teilen von Intel in den letzten drei Jahren! Zur Feier des Tages hat Ivan eine neue Version von Emotet veröffentlicht, weil er sich zurückgelassen fühlt und Teil der Party sein möchte. Weitere Details folgen in Kürze. As always watch URLHaus pic.twitter.com/Qwvel32ibB
- Cryptolaemus (@Cryptolaemus1) November 15, 2021
In der Tat haben mehrere Spezialisten seit einigen Wochen auf eine erneute Aktivität der Malware hingewiesen. Die Forschergruppe Cryptolaemus schlug am 15. November via Twitter Alarm und berichtete von einer neuen Version von Emotet. Cryptolaemus erklärt, dass diese neue Version insbesondere von einer anderen bekannten Malware, Trickbot, "transportiert" wird. Eine Information, die von anderen Sicherheitsexperten wie GData und Advanced Intel bestätigt wird, die einige Details erläutern.
GData und Advanced Intel sind der Meinung, dass das "neue Emotet" effizienter ist als sein Vorgänger. Insbesondere nutzt es die HTTPS-Verschlüsselung, um den Datenverkehr zwischen den Kontrollservern der Malware und den neu infizierten Rechnern zu verschlüsseln. Früher wurde nur das einfache HTTP-Protokoll verwendet. Crytpolaemus berichtet außerdem, dass der Befehlspuffer komplexer ist als bei der vorherigen Version der Malware: " Wir können nun bestätigen, dass der Befehlspuffer geändert wurde. Er besteht nun aus 7 Befehlen, während es in früheren Versionen nur 3-4 waren".
Frische, aktive Emotet Botnet C2 Server werden nun zu Feodo Tracker??️️ geschoben
We urge you to *BLOCK* these C2 servers and regularly update your block list to receive the maximum protection!
? https://t.co/if21bBHTpo pic.twitter.com/sdySouHxxb
- abuse.ch (@abuse_ch) November 15, 2021
Laut Cryptolaemus gab es die ersten Infektionswellen bereits im September 2021 und die Forscher erklärten, dass sie große Wellen verdächtiger E-Mails beobachtet hätten. Es sei daran erinnert, dass infizierte E-Mail-Anhänge oder korrupte HTTP-Links nach wie vor die bevorzugten Verbreitungswege der Malware sind. Noch einmal: Um eine Ansteckung zu vermeiden, ist es am sichersten, den Anhängen der E-Mails, die Sie erhalten, nicht zu vertrauen und sich die Natur eines Links genau anzusehen, bevor Sie ihn anklicken. Forscher berichten von mehr als 246 Rechnern, die als Kontrollserver für viele andere infizierte Rechner fungieren.
