Kampf gegen Cybercrime: Ist Emotet endlich geschlagen?

Wie Polizei und Gerichtsbehörden diese Woche bekanntgaben,  wurde im Rahmen einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA die Infrastruktur der Schadsoftware Emotet zerschlagen.

Einige der Cyber-Kriminellen wurden letzte Woche ausser Gefecht gesetzt. Wir
dürfen davon ausgehen, dass es davon noch viele mehr gibt.                Bild PfW

Emotet gibt es seit 2014, und die Malware galt gegenwärtig als die gefährlichste Schadsoftware weltweit. Sie hat weltweit neben den Computern zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert. In Deutschland waren das zum Beispiel das Klinikum Fürth, das Kammergericht Berlin und die  Stadt Frankfurt am Main. Emotet besass als sogenannter Downloader die Fähigkeit, unbemerkt ein System zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen Botnetzes wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der Underground Economy zum Verkauf angeboten:  Das kriminelle Geschäftsmodell von Emotet funktionierte als Malware-as-a-Service.

Im Rahmen des Emotet-Ermittlungsverfahrens wurden zunächst in Deutschland verschiedene Server identifiziert, mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschlüsselter Kommunikation kontrolliert und gesteuert werden. Umfangreiche Analysen der ermittelten Daten führten zu der Identifizierung weiterer Server in mehreren europäischen Staaten. Da sich die Bestandteile  der Emotet-Infrastruktur in mehreren Ländern befinden, wurde der Takedown in enger Kooperation mit den betroffenen internationalen Strafverfolgungsbehörden durchgeführt. Dabei wurden in Deutschland bisher 17 Server beschlagnahmt. Weitere Server wurden in den Niederlanden, in Litauen und in der Ukraine beschlagnahmt.

Durch dieses von Europol und Eurojust koordinierte Vorgehen sei es gelungen, den Zugriff der Täter auf die Emotet-Infrastruktur zu unterbinden. Auch umfangreiche Beweismittel seien gesichert worden, teilen die Behörden mit. Zudem habe man in der Ukraine bei einem der mutmasslichen Betreiber die Kontrolle über die Emotet-Infrastruktur übernommen. Diese Übernahme machte es möglich, die Schadsoftware auf betroffenen deutschen Systemen für die Täter unbrauchbar zu machen.

Emotet stand ganz zuoberst auf der Liste der gefährlichen Schadsoftware. Emotet gibt es nicht mehr – die Liste hingegen schon. Trickbot, Ryuk, Maze und Clop sind die vier Namen, die jetzt an der Spitze stehen. Den Ermittlern wird die Arbeit nicht ausgehen.