Schon 2020 war die gefährliche Schadsoftware Emotet nach einer mehrmonatigen Pause ein weiteres Mal aufgetaucht, 2021 ging man schließlich davon aus, sie endgültig eliminiert zu haben. Immerhin hatten damals acht verschiedene Strafverfolgungsbehörden auf europäischer Ebene zusammengearbeitet, um die Server zu beschlagnahmen und das Botnetz zu übernehmen.

Jetzt zeigen sich erneut Angriffe, die die Handschrift einer der gefährlichsten Schadsoftwares tragen; das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Emotet-Spam.

Über Dokumente, die beispielsweise als Anhänge von Spam-Mails versendet werden, verschafft sich Emotet Zugang zu Systemen. Doc(m)- und .xls(m)-Dateien sowie passwortgeschützte zip.-Archive seien aktuell im Umlauf, heißt es vom BSI, das mit einer baldigen Spam-Welle rechnet.

Das erneute Auftauchen von Emotet ist zunächst dem Team von G-Data, einem Unternehmen aus Bochum, aufgefallen. Die IT-Profis stellten fest, dass Systeme, die bereits mit Drohnen der Schadsoftware Trickbot infiziert waren, begannen, Dynamic Link Librarys aus dem Netz herunterzuladen. Eine automatische Analyse ergab: Es handelt sich höchstwahrscheinlich um Emotet.

Der Verdacht erhärtete sich nach weiteren, manuell vorgenommenen Analysen. Auch von anderen Stellen wurden mittlerweile Emotet-Beobachtungen bekannt gegeben.

Die wiederauferstandene Version bringt neben bekannten Mustern einige Änderungen mit sich. Dazu gehören laut G-Data eine leicht veränderte Verschlüsselung, die zum Verbergen der Daten genutzt wird, und https mit selbst signierten Zertifikaten, die die Kommunikation absichern.

Die Schäden, die der Trojaner bis zu seiner Zerschlagung 2021 alleine in Deutschland angerichtet hatte, hatten sich einer Schätzung des BKA zufolge auf etwa 14,5 Millionen Euro belaufen. Das perfide am Schadsoftware-Netzwerk: Emotet verschickt sogenannte Dynamit-Phishing-Mails, die besonders personalisiert auftreten.

Indem vorausgegangene E-Mail-Konversationen mit den vermeintlichen Absender:innen oder frühere E-Mails der Empfänger:innen zitiert werden, entsteht Vertrauen – das dafür sorgen soll, dass die gefährlichen Anhänge geöffnet werden. Dabei agiert Emotet als Malware-as-a-Service-Angebot, kann also von Angreifer:innen gegen Geld gemietet werden. Über den entstehenden Systemzugang können die letztendlich ihre eigene Schadsoftware einspeisen und sie zu ihren Zwecken nutzen.

Unternehmen, Behörden und Internetprovider sollten jetzt dementsprechend ihre Erkennungssysteme anpassen und beispielsweise alle bei abuse.ch gelisteten Emotet-Kontroll-Server blockieren. Aktuell sind zwar nur mit Trickbot infizierte Systeme gefährdet, durch die versandten Spam-Mails dürfte das allerdings nicht allzu lange so bleiben.