Emotet nach Gegenschlag: Was passiert mit den Opfern?

Emotet ist stillgelegt und deinstalliert sich am 25. April. Doch was ist mit bereits verschlüsselten Daten oder nachgeladenen Schädlingen wie Trickbot?

In Pocket speichern vorlesen Druckansicht 214 Kommentare lesen

(Bild: aslysun/Shutterstock.com)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Mit der Beschlagnahmung der IT-Infrastruktur der Emotet-Bande hat die Polizei im Prinzip die Möglichkeit, den Opfern der Kriminellen tatkräftig zu helfen. Und das ist offenbar auch der Plan: In der Verlautbarung ist davon die Rede, man habe "die Schadsoftware auf den Opfersystemen in Quarantäne verschoben" und im Internet gibt es Hinweise auf eine eingeschleuste Deinstallationsfunktion.

Doch natürlich gibt es bei dem, was die Polizei ungefragt auf den Systemen Dritter tun darf Grenzen. Wo die genau verlaufen ist jedoch derzeit noch Gegenstand heftiger Diskussionen. Immerhin ist in vielen Fällen Gefahr in Verzug und es besteht akuter Handlungsbedarf. Viele zehntausend PCs sind noch mit Emotet infiziert und deren Besitzer wissen das in aller Regel nicht.

Doch wer darf oder muss sogar etwas unternehmen und wer trägt dann die Verantwortung, wenn dabei doch etwas schiefgeht? Schließlich könnte es sich bei dem zu reinigenden Emotet-Opfer um einen PC in einem Krankenhaus handeln, der lebenserhaltende Systeme steuert. Oder um ein System, auf dessen Festplatte gerade Daten im Millionenwert verschlüsselt wurden, die sich noch im Arbeitsspeicher befinden, aber nach einem Neustart unrettbar verloren wären.

Apropos verschlüsselte Daten: Emotet selbst verschlüsselt nicht. Das macht typischerweise der nachgeladene Schädling Ryuk der Trickbot-Bande. Und die betreibt ihre eigenen C&C-Server. Das heißt, es gibt aktuell keinen Hinweis, dass man im Zuge der Beschlagnahme an die Schlüssel bereits verschlüsselter Daten kommen könnte. Wen die Trickbot-Bande erwischt hat, der steht weiterhin im Regen.

Es ist sogar noch schlimmer: Im Zuge einer Emotet-Infektion wird in aller Regel sehr zeitnah Schad-Software anderer Banden nachgeladen. Das ist dann häufig Trickbot oder etwa ein Online-Banking-Trojaner wie Qakbot. Denn das ist Emotets Geschäftsmodell: Die installieren gegen Geld den Unrat anderer auf den von ihnen infizierten Systemen. (siehe auch: Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail)

Und im Zuge der Beschlagnahmung hat die Polizei zwar dafür gesorgt, dass Emotet selbst keinen Schaden mehr anrichten kann. Aber die nachgeladenen Trojaner wie Trickbot und Co sind nach wie vor aktiv und brandgefährlich. Um die Gefahr einzudämmen, hat die Polizei offenbar zwei Maßnahmen ergriffen: Zum einen hat man durch die eingebaute Update-Funktion dafür gesorgt, dass Emotet nur noch mit von der Polizei betriebenen Kontrollservern spricht. Das ist ein vergleichsweise niedrigschwelliger Eingriff, weil dabei nur Konfigurationsdaten des bereits vorhandenen Schädlings verändert werden.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Darüber hinaus berichtet der Sicherheitsforscher milkream auf Twitter, dass er bei seiner Analyse eines aktuellen Emotet-Samples eine neue Funktion uninstall_emotet() entdeckt hat. Die wird aktuell von bekannten Emotet-Servern an die infizierten PCs ausgeliefert und gemäß dem gezeigten Code ab dem 25. April ausgeführt. Ob diese geplante Deinstallation das vom BKA erwähnte "Verschieben in Quarantäne" darstellt oder ob sich dahinter noch etwas anderes verbirgt, konnten wir noch nicht herausfinden.

Emotet deinstalliert sich demnächst selber. Aber wohl eher im April als im März.

(Bild: Twitter)

Kleine Anmerkung am Rande: milkream gibt als Startdatum den 15. März an. Doch die gezeigte C-Struktur zählt die Monate von 0 bis 11, sodass der Wert TM.tm_mon=3 dem vierten Monat, also April entspricht. Die Tage hingegen gehen von 1 bis 31 – eine der vielen Seltsamkeiten in C.

Somit wurde da aktiver Code in die Rechner der Opfer eingeschleust, der für eine Reinigung sorgen soll. Das hat bereits eine andere Qualität als das Ändern der Konfiguration auf sichere Werte. Wer das gemacht hat, ist bislang unklar; genauso wie die Rechtsgrundlage dafür. Doch augenscheinlich bezieht sich dieser Code nur auf Emotet selbst – Trickbot und Co blieben demnach unangetastet.

Offenbar scheut man davor zurĂĽck, da etwa mit einem kleinen, nachgeladenen Reinigungs-Tool zumindest bekannte Trojaner stillzulegen. Stattdessen hat man dem BSI die undankbare Aufgabe ĂĽbertragen, die Betroffenen zu benachrichtigen und darauf aufmerksam zu machen, dass sie ein Problem haben und Handlungsbedarf besteht.

Konkret läuft das vermutlich dann so ab, wie die anderen Benachrichtigungs-Aktivitäten des BSI auch: Die erhalten von den Kontroll-Servern der Polizei die IP-Adressen der infizierten Systeme, die sich dort melden. Das BSI informiert dann die Provider in der Hoffnung, dass diese ihren Kunden Bescheid geben. Und die sollten dann ihr System in Eigenregie säubern.

Doch das funktioniert eher schlecht als recht. Erfahrungsgemäß erreicht die Warnung längst nicht alle Betroffenen und von denen, die sie bekommen sind manche überfordert und einige ignorieren sie auch schlicht. Letztlich sind erfahrungsgemäß selbst nach Monaten bestenfalls etwas mehr als die Hälfte der betroffenen Systeme gesäubert.

Ob die Polizei in einem solchen Kontext auf die PCs Dritter zugreifen darf oder vielleicht zur Gefahrenabwehr sogar muss, ist aus meiner Sicht längst nicht abschließend geklärt. Diskutieren Sie diese Frage und die sich daraus ergebenden Konsequenzen mit mir und anderen IT-Security-Profis im Expertenforum von heise Security Pro:

(ju)