Wie bereits in der vergangenen Woche von mehreren Stellen berichtet wurde, ist nach einer anscheinenden Phase der Nichtaktivität über die Sommermonate die Schadsoftware Emotet mitsamt der dahinterliegenden Infrastruktur wieder aktiv.
Emotet ist eine Schadsoftware, die auf die Phase der Infektion von Systemen ausgerichtet ist und in einem zweiten Schritt beliebige weitere Schadprogramme nachladen kann. Emotet ist nicht zuletzt dadurch bekannt geworden, dass es mit der Methode des sog. „Outlook-Harvesting“ automatisiert Phishing E-Mails erstellt und versendet, und dabei Informationen aus dem Adressbuch und bisherigen E-Mail-Verläufen berücksichtigt. Die eigentliche Infektion mit Emotet erfolgt z.B. über präparierte Office-Dokumente, die den Phishing-E-Mails angehängt sind.
Sofern der Verdacht der Infektion eines Systems mit Emotet besteht, dienen Versuche der Kontaktaufnahme der infizierten Systeme zu den Steuerungsservern als deutlicher Hinweis auf das Vorliegen einer Infektion
Black Lotus Labs stellt dazu eine aktuelle Liste mit IP-Adressen der bekannten Emotet-Steuerungsserver zur Verfügung. Ergänzend verweist das BSI auf dem certbund-Twitter-Kanal auf eine weitere Liste bekannter Command and Control-Server.
Hinweise für den Fall, dass es bereits zu einer Emotet-Infektion gekommen ist aber auch zu vorbeugenden Maßnahmen, gibt beispielsweise die Allianz für Cybersicherheit.
Es ist übrigens nicht das erste Mal, dass nach einer anscheinend kurzen Pause ein Wiederanlauf von Emotet-Aktivitäten beobachtet worden ist, z.B. von Ciscos Talos Intelligence Group in einer Meldung aus dem Januar 2019.
[2] https://twitter.com/certbund/status/1164803474497761286
[4] https://github.com/blacklotuslabs/Research/blob/master/Emotet_Active_C2_08_22_19.txt
[5] https://twitter.com/certbund/status/1164803594316423168
[6] https://paste.cryptolaemus.com/emotet/2019/06/21/emotet-malware-IoCs_06-21-19.html
[7] https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html
[8] https://blog.talosintelligence.com/2019/01/return-of-emotet.html