Anfang des Jahres gelang den deutschen Strafverfolgungsbehörden ein großer Schlag gegen das Botnetzwerk des Emotet-Trojaners. Jetzt erfolgt der zweite Schlag: Ab sofort wird der Schädling per Update auf betroffenen Rechnern entfernt.
Die Zerschlagung des Botnets ist das Ergebnis einer internationalen Strafverfolgungsaktion, die es den Ermittlern ermöglichte, die Kontrolle über die Server von Emotet zu übernehmen und den Betrieb der Malware zu unterbrechen. Emotet wurde von der TA542-Bedrohungsgruppe, auch bekannt als "Mummy Spider" verwendet, um immer weitere Malware wie QBot und Trickbot, auf den infizierten Computern ihrer Opfer zu installieren. Emotet gilt als eines der gefährlichsten E-Mail-Spam-Botnets der jüngeren Geschichte. Ab heute wird Emotet mithilfe eines Malware-Moduls, das im Januar von den Strafverfolgungsbehörden bereitgestellt wurde, von allen infizierten Geräten getilgt.
Wie das Emotet-Deinstallationsprogramm funktioniert
Nach der sogenannten Takedown-Operation, bei der das Botnetz lahmgelegt wurde, hat das BKA eine neue Konfiguration auf aktive Emotet-Infektionen aufgespielt. Ähnlich haben es die Hintermänner von Emotet seit Jahren gemacht, um den Trojaner mit immer neuen Tricks für seine Verbreitung auszustatten. Jetzt allerdings steht die Malware in Verbindung zu vom Bundeskriminalamt kontrollierten Command-and-Control-Servern.
Der Plan ist nun ganz einfach: Das BKA verteilt ein neues Emotet-Modul in Form einer 32-Bit EmotetLoader.dll an alle infizierten Systeme, die die Malware ab dem 25. April 2021 automatisch deinstallieren wird - damit werden alle betroffenen Rechner von Emotet befreit. Die Malwarebytes-Sicherheitsforscher Jérôme Segura und Hasherezade haben sich das Deinstallationsmodul, das von den Strafverfolgungsbehörden kontrolliert an die Emotet-Server geliefert wird, genauer angesehen (via Bleeping Computer).
Nachdem sie die Systemuhr auf einem Testrechner geändert hatten, um das Modul auszulösen, stellten sie fest, dass es nur die zugehörigen Windows-Dienste und Autorun-Registrierungsschlüssel löscht und den Prozess dann beendet, während alles andere auf den kompromittierten Geräten unberührt bleibt. Die Datei der Strafverfolgungsbehörden geht auch nicht gegen andere Malware vor, die bereits durch Emotet auf dem infizierten Computer installiert wurde. Stattdessen soll sie verhindern, dass weitere Malware auf dem infizierten Computer installiert wird, indem sie den Computer des Opfers vom Botnet abkoppelt.
"Damit diese Art von Ansatz auf Dauer erfolgreich sein kann, ist es wichtig, dass so viele Augen wie möglich auf diese Updates gerichtet sind. Wenn möglich, sollten die beteiligten Strafverfolgungsbehörden diese Updates im offenen Internet veröffentlichen, damit Analysten sicherstellen können, dass nichts Unerwünschtes eingeschleust wird", so Marcin Kleczynski, CEO von Malwarebytes, gegenüber BleepingComputer. "Dennoch betrachten wir diesen speziellen Fall als einmalige Situation und ermutigen unsere Partner in der Branche, dies als ein isoliertes Ereignis zu betrachten, das eine spezielle Lösung erforderte, und nicht als eine Gelegenheit, Richtlinien für die Zukunft festzulegen."
Quelle; winfuture
Die Zerschlagung des Botnets ist das Ergebnis einer internationalen Strafverfolgungsaktion, die es den Ermittlern ermöglichte, die Kontrolle über die Server von Emotet zu übernehmen und den Betrieb der Malware zu unterbrechen. Emotet wurde von der TA542-Bedrohungsgruppe, auch bekannt als "Mummy Spider" verwendet, um immer weitere Malware wie QBot und Trickbot, auf den infizierten Computern ihrer Opfer zu installieren. Emotet gilt als eines der gefährlichsten E-Mail-Spam-Botnets der jüngeren Geschichte. Ab heute wird Emotet mithilfe eines Malware-Moduls, das im Januar von den Strafverfolgungsbehörden bereitgestellt wurde, von allen infizierten Geräten getilgt.
Wie das Emotet-Deinstallationsprogramm funktioniert
Nach der sogenannten Takedown-Operation, bei der das Botnetz lahmgelegt wurde, hat das BKA eine neue Konfiguration auf aktive Emotet-Infektionen aufgespielt. Ähnlich haben es die Hintermänner von Emotet seit Jahren gemacht, um den Trojaner mit immer neuen Tricks für seine Verbreitung auszustatten. Jetzt allerdings steht die Malware in Verbindung zu vom Bundeskriminalamt kontrollierten Command-and-Control-Servern.
Der Plan ist nun ganz einfach: Das BKA verteilt ein neues Emotet-Modul in Form einer 32-Bit EmotetLoader.dll an alle infizierten Systeme, die die Malware ab dem 25. April 2021 automatisch deinstallieren wird - damit werden alle betroffenen Rechner von Emotet befreit. Die Malwarebytes-Sicherheitsforscher Jérôme Segura und Hasherezade haben sich das Deinstallationsmodul, das von den Strafverfolgungsbehörden kontrolliert an die Emotet-Server geliefert wird, genauer angesehen (via Bleeping Computer).
Nachdem sie die Systemuhr auf einem Testrechner geändert hatten, um das Modul auszulösen, stellten sie fest, dass es nur die zugehörigen Windows-Dienste und Autorun-Registrierungsschlüssel löscht und den Prozess dann beendet, während alles andere auf den kompromittierten Geräten unberührt bleibt. Die Datei der Strafverfolgungsbehörden geht auch nicht gegen andere Malware vor, die bereits durch Emotet auf dem infizierten Computer installiert wurde. Stattdessen soll sie verhindern, dass weitere Malware auf dem infizierten Computer installiert wird, indem sie den Computer des Opfers vom Botnet abkoppelt.
"Damit diese Art von Ansatz auf Dauer erfolgreich sein kann, ist es wichtig, dass so viele Augen wie möglich auf diese Updates gerichtet sind. Wenn möglich, sollten die beteiligten Strafverfolgungsbehörden diese Updates im offenen Internet veröffentlichen, damit Analysten sicherstellen können, dass nichts Unerwünschtes eingeschleust wird", so Marcin Kleczynski, CEO von Malwarebytes, gegenüber BleepingComputer. "Dennoch betrachten wir diesen speziellen Fall als einmalige Situation und ermutigen unsere Partner in der Branche, dies als ein isoliertes Ereignis zu betrachten, das eine spezielle Lösung erforderte, und nicht als eine Gelegenheit, Richtlinien für die Zukunft festzulegen."
Du musst Regestriert sein, um das angehängte Bild zusehen.
Quelle; winfuture