Emotet zerschlagen
In einer international konzertierten Aktion haben Polizei- und Sicherheitsbehörden eine der größten Sammlungen von Schadprogrammen zerschlagen.
Einen Erfolg im Kampf gegen Internet-Kriminalität verbuchen das BKA und die Frankfurter Generalstaatsanwaltschaft: In einer international konzertierten Aktion konnte die Infrastruktur der Emotet-Malware zerschlagen werden.
Emotet hatte nicht nur die PCs zehntausender Privatpersonen, sondern auch IT-Systeme von Unternehmen, Behörden und Institutionen befallen. Das Bundeskriminalamt (BKA) nennt als Beispiele das Klinikum Fürth, das Kammergericht Berlin, die Bundesanstalt für Immobilienaufgaben (BImA) und die Stadt Frankfurt am Main. Als „Downloader“infizierte die Schadsoftware unbemerkt Opfersysteme, um weitere Malware nachzuladen – etwa zur Manipulation des Online-Bankings, zum Ausspähen von Passwörtern oder zum Verschlüsseln des Systems zu Erpressungszwecken (Ransomware). Laut BKA konnte die Nutzung des Botnet zusammen mit der Nachladefunktion von beliebiger Schadsoftware im Darknet gekauft werden. Deshalb könne man das kriminelle Geschäftsmodell von Emotet auch als „Malware-as-a-Service“bezeichnen. Vielen Kriminellen habe Emotet die Grundlage für zielgerichtete Cyber-Angriffe geboten. Allein in Deutschland sei durch Infektionen mit der Malware und nachgeladenen Programmen ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.
Schon seit August 2018 ermittelten die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main und das BKA gemeinsam gegen die Betreiber der Schadsoftware und des EmotetBotnet. Es lag der Verdacht des „gemeinschaftlichen gewerbsmäßigen Computerbetruges und anderer Straftaten“vor. Zunächst wurden in Deutschland verschiedene Server identifiziert, mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschlüsselter Kommunikation gesteuert wurden. Doch nach umfangreichen Datenanalysen entdeckte das Ermittlerduo weitere Server in mehreren europäischen Staaten. Auf dem Wege internationaler Rechtshilfe erhielten BKA und ZIT weitere Daten und konnten so, unterstützt durch internationale Partnerdienststellen, die EmotetInfrastruktur immer weiter aufdecken. Ende Januar erfolgte dann in einer international koordinierten Strafverfolgungsaktion der „Takedown“. Beamte des BKA und Staatsanwälte der ZIT haben dabei in Deutschland bisher 17 Server beschlagnahmt. Auf Ersuchen der deutschen Strafverfolgungsbehörden wurden weitere Server in den Niederlanden, in Litauen und in der Ukraine einkassiert. Durch dieses von Europol und Eurojust koordinierte Vorgehen ist es laut BKA gelungen, den Zugriff der Täter auf die Emotet-Infrastruktur zu unterbinden. Zudem konnten umfangreiche Beweismittel gesichert werden. Außerdem konnte bei einem der mutmaßlichen Betreiber in der Ukraine die Kontrolle über die Emotet-Infrastruktur übernommen werden.
Wie das BKA berichtet, ist es mit der Kontrolle über die Emotet-Infrastruktur gelungen, die Schadsoftware auf infizierten deutschen Rechnern für die Täter unbrauchbar zu machen. Die Malware auf den Opfersystemen wurde in Quarantäne verschoben, und die Kommunikationsparameter der Schadsoftware wurden so angepasst, dass die Opfersysteme nun mit einer Infrastruktur kommunizieren, die zur Beweissicherung eingerichtet wurde. Die so erlangten Informationen über die Opfersysteme – zum Beispiel öffentliche IP-Adressen – werden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt. Das BSI benachrichtigt die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Provider werden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stellt das BSI Informationen zur Bereinigung betroffener Systeme zur Verfügung.