Mehr als 200 neue Versionen am Tag: Die Macher des Trojaners Emotet verantworten die aktuell produktivste Cybercrime-Kampagne. Im ersten Halbjahr 2019 hat G DATA bereits mehr Versionen entdeckt, als im gesamten Jahr 2018.
Der Trojaner Emotet ist eine der häufigsten und gefährlichsten Bedrohungen für Unternehmen. Die Allzweckwaffe des Cybercrime wird von Kriminellen meist zur gezielten Spionage in Unternehmen genutzt. Nach der initialen Infektion kommt dann weitere Malware wie Trickbot oder die Ransomware Ryuk zum Einsatz. Im ersten Halbjahr 2019 registrierten die Sicherheitsexperten von G DATA bereits mehr als 33.000 Varianten der Schadsoftware – mehr als im gesamten Jahr 2018.
Kriminelle verändern ihre Schadsoftware in immer schnelleren Abständen mit Hilfe sogenannter Crypter – also Packern, die der Schadsoftware ein neues Aussehen verpassen und sie so vor der Entdeckung durch Sicherheitslösungen, wie G DATA Total Security, verstecken sollen. Im vergangenen Jahr beobachtete G DATA rund 28.000 Versionen der Malware – ein Durchschnitt von etwa 70 Versionen am Tag.
Im ersten Halbjahr 2019 landeten bereits mehr als 33.000 Versionen von Emotet in den Datenbanken. Es zeigt sich: Die Kriminellen versuchen immer schneller, neue Versionen in Umlauf zu bringen. G DATA begegnet der immer schnelleren Verbreitung entsprechender Malware mit der KI-Technologie DeepRay. DeepRay nutzt jahrelange Erfahrungen in der Malware-Analyse und verarbeitet diese mit Hilfe speziell entwickelter Algorithmen. So können Bedrohungen wie Emotet deutlich schneller aufgespürt und blockiert werden.
Der Emotet-Trojaner ist allerdings nicht nur wegen der Massen an neuen Samples gefährlich: „Im Hintergrund nutzen die Kriminellen modernste Technologien wie KI und Graphdatenbanken, um ihre Angriffe möglichst glaubwürdig aussehen zu lassen“, sagt Tim Berghoff, Security Evangelist bei G DATA. „Spam-Mails werden heute längst nicht mehr im Namen angeblicher nigerianischer Prinzen versendet, sondern sehen aus wie ganz normale Geschäftsvorgänge. Diese sind selbst von geschulten Mitarbeitern schwer zu erkennen.“
Emotet selbst fungiert als eine Art Brückenkopf auf dem System infizierter Nutzer. Meist wird die Malware durch Word-Dokumente mit bösartigen Makros verbreitet. Durch Social Engineering-Methoden sollen Anwender dann dazu gebracht werden, diese zu aktivieren. Dann wird im Hintergrund ein Powershell-Befehl ausgeführt, der die eigentliche Schadsoftware installiert. Nach der Infektion kann Emotet zahlreiche Module nachladen. Diese haben wir in einem separaten Blogbeitrag detailliert beschrieben.
Trotz der Rekordzahlen im ersten Halbjahr sind die Neuinfektionen mit Emotet in den vergangenen Wochen zurückgegangen. Bei G DATA kommen seit dem 8. Juni sehr viel weniger neue Samples an, auch die Infektionen sind zurückgegangen. Möglicherweise formiert sich die Gruppe hinter Emotet gerade neu.