Emotet: Ermittler zerschlagen “die gefährlichste Schadsoftware der Welt” und stoßen auf Goldbarren
Krankenhäuser, Gerichte, Stadtverwaltungen und Unmengen an Privatanwendern: Seit 2014 hat die Schadsoftware rund um den Globus gigantische Schäden angerichtet. Nun soll der Spuk ein Ende haben. Zumindest vorerst. In einer gebündelten Aktion haben Behörden und Sicherheitsexperten die Kontrollserver des Schädlings gekapert. Auch deutsche Behörden waren an dem erfolgreichen Schlag beteiligt.
Das sagte Arne Schönbohm, der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), auf einer Presskonferenz. Alleine in Deutschland wurden demnach 17 Server beschlagnahmt, es gab zwei Verhaftungen in der Ukraine. Dem “König der Schadsoftware” (Schönbohm) wurde demnach in einer zwei Jahre lang im Geheimen geplanten gemeinsamen Aktion internationaler Behörden und privater Sicherheitsexperten der Stecker gezogen. An der von deutschen und holländischen Behörden geführten “Operation Ladybird” nahmen unter anderem auch Europol, Behörden in den USA, Kanada, Frankreich und der Ukraine teil.
“Türöffner” Emotet
Emotet, das auch als “Schweizer Taschenmesser der Schadsoftware” bezeichnet wurde, zog seine Gefährlichkeit aus seiner Flexibilität. Der Schädling verbreitete sich über Spam-Mails, konnte über ein zugrunde liegendes Botnet dann quasi automatisch Rechner und ganze Netzwerke übernehmen. “Die Emotet-Infrastruktur funktionierte im Kern wie ein erster Türöffner”, erklärt Europol. Und der ließ sich je nach Einsatzwunsch für Erpressung, Datendiebstahl oder das Einspielen weiterer Schadsoftware nutzen.
“Sie waren besonders gut darin, hinter die Schutzmechanismen zu kommen”, zitiert “Wired” den Sicherheits-Experten Martijn Grooten. Doch die Betreiber führten nicht jeden Einsatz selbst aus. Stattdessen setzten sie wie legale Softwarefirmen auf Dienstleistungen als Einnahmequelle: Emotet und seine Schlagkraft wurden auch als Angriffs-Service vermietet.
Schäden in Milliardenhöre
Wie viel Geld das den Betreibern einbrachte, lässt ein Video der ukrainischen Polizei von der dortigen Razzia erahnen. Bei der Verhaftung der Server-Betreiber stellten die Beamten nicht nur Rechner, Festplatten und andere Hardware sicher, sondern auch bündelweise Bargeld und sogar eine Sammlung von Goldbarren.
Diese Einnahmen sind sicher auch den hochkarätigen Zielen zu verdanken. In Deutschland waren etwa das Klinikum Fürth, das Kammergericht Berlin, die Bundesanstalt für Immobilienaufgaben und die Stadtverwaltung von Frankfurt Opfer Emotets. Der Schaden hierzulande wird auf etwa 14 Millionen Euro geschätzt, weltweit sollen zwischen 200 Millionen und 2,1 Milliarden Euro an Schäden entstanden sein.
Geheimhaltung zahlt sich aus
Die Übernahme durch die Behörden überraschte selbst Experten. Auf mehr als 90 Länder hatten die Betreiber ihre Comand-and-Control-Server für das für Attacken genutzte Botnet verteilt, die Identifikation der Server hat über zwei Jahre gedauert. Alle Server wurden auf einen Schlag übernommen. Alleine 17 Server wurden nach Angaben des BSI in Deutschland beschlagnahmt, Hunderte waren es nach Angaben von Europol weltweit. Möglich wurde der Schlag, indem der Haupt-Kontrollserver in der Ukraine durch die Behörden übernommen wurde.
Auch für bereits Betroffene gibt es eine gute Nachricht: Mit der Übernahme der Kommandoserver war es nach Angaben der Ermittler möglich, die Schadsoftware auch auf befallenen Systemen unschädlich zu machen, indem ein Befehl an alle betroffenen Rechner geschickt wurde. Trotzdem rät die holländische Polizei dazu, eine Infektion nicht auf die leichte Schulter zu nehmen und mit Sicherheitssoftware dagegen vorzugehen. Mit einem Tool ist es möglich, die eigene Infektion anhand der E-Mail-Adresse zu überprüfen.
Ist das das Ende?
Wie nachhaltig der Schlag ist, muss sich zeigen. Nicht alle Verdächtigen wurden auch verhaftet, berichtet “Wired” unter Berufung auf ukrainische Behörden. Demnach sind zwar weitere Mitglieder der Hackergruppe identifiziert worden, nach ihnen werde aber noch gefahndet. Die Hintermänner werden in Russland vermutet.
Sollten die Schadsoftware und die nötigen Server für bisher unbekannte Mitglieder der Gruppe aber wiederherstellbar sein, könnte es nur eine Frage der Zeit sein, bis diese das Netzwerk wiederbeleben oder ihre Kenntnisse weiterverkaufen. So war es im Herbst nach einem Schlag gegen TrickBot geschehen. Aktuell scheinen die Behörden allerdings optimistisch. Man “hoffe, eine mögliche Rekonstruktion des Emotet-Netzwerks sehr schwer gemacht zu haben”, sagten beteiligte Experten “Wired”. “Wir haben herausgefunden, wie und wo sie Backups anlegen. Und wir haben sie alle einkassiert”, gaben sie sich sicher. “Selbst wenn sie wiederhergestellt werden, haben wir nun Wege, das zu bekämpfen.”
Ein Grund aufzuatmen wäre aber selbst das endgültige Verschwinden von Emotet wohl nicht. Zwar nannten die Ermittler die Aktion zurecht “eine wesentliche Verbesserung der Cybersicherheit in Deutschland”, auf Dauer dürfte Emotet aber nur von einer anderen Gruppe ersetzt werden. Bis dahin dürfen die Beteiligten ihren Sieg aber durchaus feiern.
