Emotet: So erkennen und schützen Sie sich vor dem Trojaner

Emotet ist ein Computer-Schadprogramm, das ursprünglich in Form eines sogenannten Banking-Trojanersentwickelt wurde. Das Ziel war, in fremde Geräte einzudringen und sensible private Daten auszuspähen. Emotet ist in der Lage, gängige Antivirenprogramme zu täuschen und sich vor ihnen zu verstecken. Einmal infiziert, breitet sich die Schadsoftware wie ein Computerwurm aus und versucht sich auch auf anderen Computern im Netzwerk einzunisten.

Emotet verbreitet sich vor allem durch Spam-E-Mails. Die Mail enthält dabei einen bösartigen Link oder ein infiziertes Dokument mit aktivierten Makros. Lädt man das Dokument herunter oder öffnet den Link, werden automatisch weitere Schadprogramme auf den Computer heruntergeladen. Die E-Mails wirken dabei sehr authentisch.

Der Begriff Emotet

Im Jahr 2014 wurde Emotet erstmals erkannt, als Kunden deutscher und österreichischer Banken von dem Trojaner betroffen waren. Emotet hatte sich Zugang zu den Login-Daten der Kunden verschafft. In den darauffolgenden Jahren konnte sich der Virus weltweit verbreiten.

Mittlerweile hat sich Emotet von einem Banking-Trojaner zu einem Dropper entwickelt, was bedeutet, dass der Trojaner Schadprogramme nachlädt. Diese sind dann verantwortlich für den eigentlichen Schaden im System. Meistens handelt es sich dabei um folgende Programme:

Trickbot: Ein Banking-Trojaner, der sich Zugriff auf die Zugangsdaten zu Bankaccounts erschleichen will.
Ryuk: Ein Verschlüsselungstrojaner – auch Kryptotrojaner oder Ransomware genannt – verschlüsselt Daten und verhindert somit, dass der Bnutzer des Computers auf diese Daten zugreifen kann oder sperrt gleich das ganze System.

Das Ziel der Cyberkriminellen hinter Emotet ist häufig, ihre Geiseln um Geld zu erpressen. Sie drohen beispielsweise damit, die verschlüsselten Daten zu veröffentlichen oder nicht mehr freizugeben. Meist wird der komplette Vorgang der Infizierung, des zusätzlichen Downloads der Schadprogramme und deren Verbreitung als Emotet bezeichnet.

Auf wen hat es Emotet abgesehen?

Betroffen sind von Emotet sowohl Privatpersonen als auch Firmen, Organisationen und auch Behörden. Im Jahr 2018 musste das Klinikum Fürstenfeldbruck nach einer Infektion mit Emotet 450 Computer abschalten und sich bei der Rettungsleitstelle abmelden. Im September 2019 war zum Beispiel das Berliner Kammergericht betroffen, im Dezember 2019 die Uni Gießen.

Auch die Medizinische Hochschule Hannover und etwa die Stadtverwaltung von Frankfurt am Main wurden von Emotet infiziert. Die Dunkelziffer der betroffenen Firmen wird noch weitaus höher geschätzt. Man nimmt an, dass viele infizierte Unternehmen aus Angst um ihre Reputation und vor weiteren Angriffen nicht über eine Infektion berichten wollen.

Während in den Anfangszeiten von Emotet hauptsächlich Unternehmen ins Visier genommen wurden, zielt der Trojaner mittlerweile vorrangig auf Privatpersonen ab.

Welche Geräte sind durch Emotet gefährdet?

Anfänglich wurde eine Infizierung mit Emotet nur auf moderneren Versionen des Betriebssystems Windows von Microsoft entdeckt. Anfang 2019 wurde jedoch bekannt, dass auch Computer des Herstellers Apple von Emotet betroffen sind. Die Hintermänner lockten die Benutzer mit einer gefälschten E-Mail vom Apple-Support in die Falle. Das Unternehmen hätte den „Zugriff zu Ihrem Kundenkonto eingeschränkt“. Man solle einem Link folgen, um angeblich eine Deaktivierung und Löschung bestimmter Apple-Dienste zu verhindern.

So verbreitet sich der Emotet-Trojaner

Emotet wird vor allem über sogenanntes Outlook-Harvesting verbreitet. Der Trojaner liest dabei E-Mails bereits betroffener Nutzer aus und erzeugt täuschend echte Inhalte. Diese Mails wirken authentisch und persönlich und heben sich dadurch von gewöhnlichen Spam-Mails ab. Emotet verschickt diese Phishing-Mails an gespeicherte Kontakte weiter, also an Freunde, Familienmitglieder, Arbeitskollegen oder den eigenen Chef.

Meist enthalten die Mails dabei ein infiziertes Word-Dokument, das man herunterladen soll oder einen gefährlichen Link. Als Absender wird dabei stets der korrekte Name angezeigt. Die Empfänger werden dadurch in Sicherheit gewogen, da alles nach einer normalen, persönlichen E-Mail von Ihnen aussieht, und klicken daher höchstwahrscheinlich auf den gefährlichen Link oder den infizierten Anhang.

Wenn Emotet erst einmal Zugang zu einem Netzwerk hat, kann er sich weiter ausbreiten. Dabei versucht er, mit der Brute-Force-MethodePasswörter zu Ihren Konten zu knacken. Andere Verbreitungswege von Emotet waren beispielsweise die EternalBlue-Sicherheitslücke und die DoublePulsar-Schwachstelle bei Windows, durch welche die Installation von Schadsoftware ohne menschliches Handeln möglich war. Im Jahr 2017 konnte der Erpressungstrojaner WannaCry den EternalBlue-Exploit für einen schwerwiegenden Cyberangriff ausnutzen und verheerenden Schaden anrichten.

Emotet: Infrastruktur der Schadsoftware zerschlagen

Ende Januar 2021 gaben die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) bekannt, dass die Emotet-Infrastruktur im Rahmen einer international konzertierten Aktion „übernommen und zerschlagen“ wurde. Strafverfolgungsbehörden aus Deutschland, den Niederlanden, der Ukraine, Frankreich, Litauen sowie aus England, Kanada und den USA waren Teil der Aktion.

Eigenen Angaben zufolge konnten die Strafverfolgungsbehörden insgesamt mehr als 100 Server der Emotet-Infrastruktur deaktivieren, 17 davon allein in Deutschland. Diese seien sogleich der Anfang der Spur gewesen. Das BKA habe Daten gesammelt und nach weiteren Analysen weitere Server in ganz Europa ausfindig gemacht.

Laut Aussage des BKA sei die Infrastruktur der Schadsoftware Emotet zerschlagen und unschädlich gemacht worden. In der Ukraine konnten die dortigen Behörden die Infrastruktur übernehmen und zudem mehrere Computer, Festplatten, Geld und Goldbarren sicherstellen. Das gesamte Vorgehen wurde von Europol und Eurojust, der EU-Agentur für justizielle Zusammenarbeit in Strafsachen, koordiniert.

Durch die Kontrollübernahme über die Infrastruktur von Emotet konnten die Behörden die Schadsoftware auf den betroffenen deutschen Opfersystemen für die Täter unbrauchbar machen. Damit diese die Kontrolle nicht wieder zurückerlangen konnten, haben die Einsatzkräfte die Schadsoftware auf den betroffenen Opfersystemenin Quarantäne verschoben. Zusätzlich haben sie die Kommunikationsparameter der Software so angepasst, dass diese einzig zur Beweissicherung mit einer extra eingerichteten Infrastruktur kommunizieren kann. Dabei gelangten die Behörden an Informationen über die betroffenen Opfersysteme, wie beispielsweise öffentliche IP-Adressen. Diese wurden an das BSI übermittelt.

Wer steckt hinter Emotet?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist der Auffassung, dass „die Entwickler von Emotet ihre Software und ihre Infrastruktur an Dritte untervermieten“. Diese setzten zusätzlich auf weitere Schadsoftware, um deren eigene Ziele zu verfolgen. Das BSI ist der Meinung, dass die Motive der Kriminellen finanzieller Natur sind und geht somit von Cyberkriminalität aus, nicht von Spionage.

Auf die Frage, wer dahintersteht, hat wohl niemand eine Antwort. Gerüchten zufolge kommen Russland oder Osteuropa als Ursprungsgegend in Frage, jedoch gibt es keine seriösen Beweise dafür.

Emotet: So gefährlich ist der Virus

Das US-Heimatschutzministerium kam zu dem Ergebnis, dass sich hinter Emotet eine besonders kostspielige Software mit enormer Zerstörungskraft verbirgt. Die Kosten der Bereinigung werden pro Vorfall auf rund eine Million US-Dollar beziffert. Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), bezeichnet Emotet deshalb als „König der Schadsoftware“.

Emotet ist zweifelsfrei eines der komplexesten und gefährlichsten Schadprogramme der Geschichte. Der Virus ist polymorph, was bedeutet, dass sich sein Code bei jedem Abruf ein wenig verändert. Das erschwert es Antiviren-Software, den Virus zu identifizieren, da viele Antiviren-Programme signaturbasierte Suchen durchführen. Im Februar 2020 entdeckten Sicherheitsforscher von Binary Search, dass Emotet mittlerweile auch WLANs angreift. Ist ein infiziertes Gerät mit einem WLAN verbunden, scannt Emotet alle WLANs, die sich in der Nähe befinden. Mithilfe einer Passwortliste versucht der Virus anschließend, Zugriff auf die Netzwerke zu bekommen und somit weitere Geräte zu infizieren.

Cyberkriminelle nutzen gerne Ängste in der Bevölkerung aus. So verwundert es nicht, dass auch die Angst vor dem Coronavirus, der seit Dezember 2019 weltweit im Umlauf ist, von Emotet ausgenutzt wird. Die Cyberkriminellen hinter dem trojanischen Pferd fälschen häufig E-Mails, die angeblich über den Coronavirus informieren und die Bevölkerung aufklären sollen. Falls Sie also eine solche Mail in Ihrem Postfach entdecken, seien Sie besonders vorsichtig mit etwaigen Anhängen oder Links in der Mail!

Wie kann ich mich vor Emotet schützen?

Beim Schutz vor Emotet und anderen Trojanern reicht es nicht aus, sich nur auf Antiviren-Programme zu verlassen. Denn allein den polymorphen Virus zu erkennen, ist nur das erste Problem für Endnutzer. Es gibt schlicht keine Lösung, die einen 100-prozentigen Schutz vor Emotet oder anderen wandelbaren Trojanern bietet. Allein durch Vorsorge von organisatorischen und technischen Maßnahmen kann man das Risiko einer Infektion minimal halten. Diese Vorkehrungen sollten Sie treffen, um sich vor Emotet zu schützen:

Bleiben Sie auf dem Laufenden! Informieren Sie sich regelmäßig über weitere Entwicklungen um das gesamte Thema Emotet. Dabei stehen Ihnen verschiedene Möglichkeiten zur Verfügung, beispielsweise der BSI-Newsletter unser Newsletter von Kaspersky (Anmeldung am Ende der Seite nach Klick auf den Link) oder eigene Recherche.
Sicherheitsupdates: Installieren Sie unbedingt von Herstellern bereitgestellte Updates so schnell wie möglich, um mögliche Sicherheitslücken zu schließen. Das betrifft sowohl Betriebssysteme wie Windows und macOS als auch jegliche Anwendungsprogramme, Browser, Browser-Addons, E-Mail-Clients, Office- und PDF-Programme.
Antiviren-Software: Installieren Sie unbedingt ein Antiviren-Programm wie Kaspersky Internet Securityund lassen Sie es Ihren Computer regelmäßig auf Schwachstellen untersuchen. Damit sind Sie bestmöglich vor den neuesten Viren, Spyware und anderen Online-Bedrohungen geschützt.
Laden Sie keine dubiosen Anhänge aus E-Mails herunter und klicken Sie nicht auf verdächtige Links. Wenn Sie sich unsicher sind, ob eine E-Mail gefälscht ist, gehen Sie kein Risiko ein und kontaktieren Sie Ihren Gesprächspartner! Falls Sie bei einer heruntergeladenen Datei aufgefordert werden, das Ausführen eines Makros zu erlauben, machen Sie das auf keinen Fall, sondern löschen Sie die Datei umgehend. Denn so bieten Sie Emotet erst gar keine Chance, auf Ihren Computer zu gelangen.
Backups: Sichern Sie regelmäßig Ihre Daten auf einem externen Datenträger. Im Ernstfall einer Infektion haben Sie somit immer ein Backup, auf das Sie zurückgreifen können, und haben nicht alle Daten auf Ihrem PC verloren.
Passwörter: Verwenden Sie für sämtliche Zugänge (Online-Banking, E-Mail-Account, Online-Handel) nur starke Passwörter. Also nicht etwa den Namen Ihres ersten Hundes, sondern eine willkürliche Anordnung von Buchstaben, Zahlen und Sonderzeichen. Sie können sich diese entweder selbst ausdenken oder über diverse Programme wie Passwort-Manager generieren lassen. Zusätzlich bieten heutzutage sehr viele Programme die Möglichkeit einer Zwei-Faktor-Authentifizierung.
Dateiendungen: Lassen Sie sich auf Ihrem Computer Dateiendungen standardmäßig anzeigen. Dadurch können Sie dubiose Dateien wie beispielsweise „Urlaubsfoto123.jpg.exe“ erkennen.

Wie kann ich Emotet entfernen?

Zuallererst gilt eines: Geraten Sie nicht in Panik, wenn Sie den Verdacht haben, dass Ihr PC mit Emotet infiziert sein könnte! Informieren Sie ihr Umfeld über die Infektion, denn Ihre Mailkontakte und andere Geräte, die an Ihr Netzwerk angeschlossen sind, sind ebenfalls potenziell gefährdet.

Als nächstes sollten Sie unbedingt Ihren Rechner isolieren, wenn dieser an ein Netzwerk angeschlossen ist, um das Risiko einer Ausbreitung von Emotet zu verringern. Anschließend sollten Sie alle Zugangsdaten zu Ihren Accounts ändern, also E-Mail-Accounts, Web-Browser etc.

Da der Virus Emotet polymorph ist und sich sein Code bei jedem Abruf immer ein wenig verändert, kann ein bereinigter Computer schnell erneut infiziert werden, sobald er mit einem infizierten Netzwerk verbunden ist. Sie müssen also nacheinander alle Computer, die an Ihr Netzwerk angeschlossen sind, reinigen. Verwenden Sie dazu ein Antiviren-Programm. Sie können auch zusätzlich einen Fachmann kontaktieren, wie etwa den Anbieter Ihrer Antiviren-Software.

EmoCheck: Hilft das Tool wirklich gegen Emotet?

Das japanische CERT (Computer Emergency Response Team) hat das Tool EmoCheck veröffentlicht, mit dem man seinen Rechner auf eine Infektion durch Emotet überprüfen kann. Tipp: Nutzen Sie das Tool, um eine mögliche Infektion durch bereits bekannte Emotet-Versionen zu entdecken. Doch Vorsicht! Da der Virus Emotet polymorph ist, kann auch EmoCheck Ihnen keine 100-prozentige Sicherheit garantieren, dass Ihr Rechner nicht infiziert ist. EmoCheck geht mit einer Methode vor, charakteristische Zeichenketten zu erkennen und dadurch vor dem Trojaner zu warnen. Durch die Wandelbarkeit des Virus ist jedoch nicht gewährleistet, dass Ihr Rechner wirklich sauber ist.

Fazit zu Emotet

Der Trojaner Emotet zählt wahrlich zu den gefährlichsten Schadprogrammen in der IT-Geschichte. Betroffen von der Gefahr ist jeder: Privatpersonen, Firmen und sogar Behörden. Hat sich der Trojaner einmal in ein System geschleust, lädt er andere Schadprogramme nach, die Zugangsdaten ausspähen und Daten verschlüsseln. Oftmals werden die Opfer des Virus mit Lösegeldzahlungen erpresst, um die Daten wiederzubekommen. Leider gibt es keine Lösung, die einen 100-prozentigen Schutz vor einer Infektion durch Emotet bietet. Mit verschiedenen Maßnahmen kann man jedoch das Infektionsrisiko geringhalten. Wenn Sie den Verdacht haben, dass Ihr Rechner mit Emotet infiziert ist, sollten Sie die oben genannten Maßnahmen einleiten, um Ihren Computer von Emotet zu säubern.