Die Gruppe Conti die zur Verwendung die Verbreitung von Ransomware über das Emotet-Botnet verantwortlich war, hat sich offiziell zurückgezogen. Seitdem haben andere RaaS-Gruppen, ebenso wie Quantum und BlackCat, das Botnet übernommen und setzen es nun für ihre eigenen Zwecke ein.
Die Ursprünge und Entwicklung des Emotet-Botnet
Emotet wurde erstmals im Jahr 2014 als Trojaner eingesetzt um Zugangsdaten zu Bankkonten abzufangen. Im Laufe der Zeit wurde der Trojaner jedoch immer gefährlicher, da Malware-Entwickler ständig neue Updates hinzufügten. Eines dieser Updates ermöglichte es Angreifern die E-Mails von Betroffenen auszulesen und den Inhalt wiederzuverwenden um Emotet weiter zu verbreiten. Außerdem konnten Angreifer durch das Botnet verschiedene Payloads auf infizierte Systeme herunterladen und diese dann remote steuern.
Das Ende und der Wiederaufstieg von Emotet
Um den Trojaner zu bekämpfen gab es einen koordinierten Einsatz von Europol niederländischen Ermittlern der Politie und deutschen Polizisten des Bundeskriminalamtes. Ziel dieses Einsatzes war es • die Infrastruktur des Botnets zu kapern und zu zerschlagen • um die Verbreitung des Trojaners zu verhindern. Allerdings tauchte Emotet Anfang dieses Jahres wieder auf und wurde über Spam-Mails und Fake-Mails verbreitet.
AdvIntel beobachtete allein in diesem Jahr 1․267․598 infizierte Systeme. Ein deutlicher Anstieg war im Februar und März zu verzeichnen, während des Russland-Ukraine Konflikts. Bisher nutzte Conti das Emotet-Botnet exklusiv jedoch jetzt nutzen ebenfalls andere Ransomware-Gruppen wie Quantum und BlackCat, das Botnet für ihre Zwecke.
Die Überreste von Conti in anderen Gruppierungen
Obwohl sich die Ransomware-Gruppe Conti offiziell zurückgezogen hat, bleiben einige ihrer Mitglieder aktiv in anderen Gruppierungen wie BlackCat und Hive und führen auch selbstständig kriminelle Aktivitäten durch.
Typische Angriffsmuster des Emotet-Botnet
Das Emotet-Botnet, auch bekannt als SPMTools, wurde von vielen kriminellen Gruppen im Netz als Angriffsvektor genutzt. In einem typischen Angriffsmuster setzen die Cyberkriminellen das Botnet als Eintrittspunkt ein » um dann Cobalt Strike einzusetzen « welches das System ausspioniert.
Die Gruppe Quantum, ein Spin-Off von Conti, nutzt verschiedene Angriffstechniken wie Phishing, call-back Phishing, kompromittierte Login-Daten und das Ausnutzen von Systemschwächen um in die Systeme von Computern einzudringen und Emotet zu verbreiten.
Die Auswirkungen des Emotet-Botnet auf infizierte Systeme
Die Zahlen zeigen dass die meisten Systeme in den USA infiziert werden gefolgt von Finnland, Brasilien, den Niederlanden und Frankreich. Laut ESET stieg die Anzahl infizierter Systeme in den ersten vier Monaten von 2022 um das Einhundertfache an. Allerdings fiel Emotet im August auf den fünften Platz der meist verbreiteten Malware.
Kommentare