Einmalige Aktion: BKA löscht Emotet ab heute von infizierten Rechnern

Anfang des Jahres gelang den deutschen Straf­ver­fol­gungs­be­hör­den ein großer Schlag gegen das Botnetzwerk des Emotet-Trojaners. Jetzt erfolgt der zweite Schlag: Ab sofort wird der Schädling per Update auf betrof­fen­en Rechnern entfernt. Die Zerschlagung des Botnets ist das Ergebnis einer internationalen Strafverfolgungsaktion, die es den Ermittlern ermöglichte, die Kontrolle über die Server von Emotet zu übernehmen und den Betrieb der Malware zu unterbrechen. Emotet wurde von der TA542-Bedrohungs­gruppe, auch bekannt als "Mummy Spider" verwendet, um immer weitere Malware wie QBot und Trickbot, auf den infizierten Computern ihrer Opfer zu installieren. Emotet gilt als eines der gefährlichsten E-Mail-Spam-Botnets der jüngeren Geschichte. Ab heute wird Emotet mithilfe eines Malware-Moduls, das im Januar von den Strafverfolgungs­be­hör­den bereit­ge­stellt wurde, von allen infizierten Geräten getilgt.

Nachtrag: Wer möchte kann nun über die Website Have I been Pwned? prüfen, ob seine Daten im Laufe einer Emotet-Infektion gestohlen wurden. Die Strafverfolgungsbehörden haben dafür eine Datenbank zur Verfügung gestellt. Mehr dazu in unserem Beitrag zur neuen Prüfmöglichkeit.

Wie das Emotet-Deinstallationsprogramm funktioniert

Nach der sogenannten Takedown-Operation, bei der das Botnetz lahmgelegt wurde, hat das BKA eine neue Konfiguration auf aktive Emotet-Infektionen aufgespielt. Ähnlich haben es die Hintermänner von Emotet seit Jahren gemacht, um den Trojaner mit immer neuen Tricks für seine Verbreitung auszustatten. Jetzt allerdings steht die Malware in Verbindung zu vom Bundeskriminalamt kontrollierten Command-and-Control-Servern. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet Der Plan ist nun ganz einfach: Das BKA verteilt ein neues Emotet-Modul in Form einer 32-Bit EmotetLoader.dll an alle infizierten Systeme, die die Malware ab dem 25. April 2021 automatisch deinstallieren wird - damit werden alle betroffenen Rechner von Emotet befreit. Die Malwarebytes-Sicherheitsforscher Jérôme Segura und Hasherezade haben sich das Deinstallationsmodul, das von den Strafverfolgungsbehörden kontrolliert an die Emotet-Server geliefert wird, genauer angesehen (via Bleeping Computer).

Nachdem sie die Systemuhr auf einem Testrechner geändert hatten, um das Modul auszulösen, stellten sie fest, dass es nur die zugehörigen Windows-Dienste und Autorun-Registrierungsschlüssel löscht und den Prozess dann beendet, während alles andere auf den kompromittierten Geräten unberührt bleibt. Die Datei der Strafverfolgungsbehörden geht auch nicht gegen andere Malware vor, die bereits durch Emotet auf dem infizierten Computer installiert wurde. Stattdessen soll sie verhindern, dass weitere Malware auf dem infizierten Computer installiert wird, indem sie den Computer des Opfers vom Botnet abkoppelt.

"Damit diese Art von Ansatz auf Dauer erfolgreich sein kann, ist es wichtig, dass so viele Augen wie möglich auf diese Updates gerichtet sind. Wenn möglich, sollten die beteiligten Strafverfolgungsbehörden diese Updates im offenen Internet veröffentlichen, damit Analysten sicherstellen können, dass nichts Unerwünschtes eingeschleust wird", so Marcin Kleczynski, CEO von Malwarebytes, gegenüber BleepingComputer. "Dennoch betrachten wir diesen speziellen Fall als einmalige Situation und ermutigen unsere Partner in der Branche, dies als ein isoliertes Ereignis zu betrachten, das eine spezielle Lösung erforderte, und nicht als eine Gelegenheit, Richtlinien für die Zukunft festzulegen."

Download RogueKiller - Malware aufspüren und entfernen Download Malwarebytes Premium - Vierfacher Schutz vor Schadsoftware

Siehe auch:

Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Bug, Trojaner, Virus, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Ransomware, Hacking, Spam, Erpressung, Hackerangriff, Phishing, Internetkriminalität, Warnung, Ddos, Darknet, Hacken, Hacker Angriffe, Hacker Angriff, Ransom, Attack, Hacks, Viren, Gehackt, Error, Crime, Schädling, Russische Hacker, China Hacker, Adware, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware, Phisher, Secure, Breaking Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Bug, Trojaner, Virus, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Ransomware, Hacking, Spam, Erpressung, Hackerangriff, Phishing, Internetkriminalität, Warnung, Ddos, Darknet, Hacken, Hacker Angriffe, Hacker Angriff, Ransom, Attack, Hacks, Viren, Gehackt, Error, Crime, Schädling, Russische Hacker, China Hacker, Adware, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware, Phisher, Secure, Breaking
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Iniu Power BankIniu Power Bank
Original Amazon-Preis
25,99
Im Preisvergleich ab
25,99
Blitzangebot-Preis
22,09
Ersparnis zu Amazon 15% oder 3,90

Video-Empfehlungen

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!