TA542, eine Gruppe Cyberkrimineller, die Emotet-Malware verbreitet, hat ihre Sommerpause beendet und startet immer mehr neue Kampagnen. Allerdings auch mit veränderten Emotet-Varianten.
Die Gruppe TA542 war fast vier Monate lang von der Bildfläche verschwunden und wurde im Sommer am 13. Juli 2022 zuletzt in Aktion gesehen. Seit dem 2. November beobachten die Security-Spezialisten von Proofpoint neue Aktivitäten von TA542 – insbesondere auch in Deutschland.
Wesentliche Erkenntnisse zu den Emotet-Kampagnen
- TA542 verwendet in den neuen Kampagnen angepasste Emotet-Varianten. Die Änderungen (s.u.) betreffen die verwendeten Payloads und Köder ebenso wie Änderungen an den Emotet-Modulen, dem Loader und dem Packer.
- Emotet liefert jetzt auch den Banking-Trojaner IcedID aus.
- Die neuen Aktivitäten deuten darauf hin, dass Emotet wieder seine volle Funktionalität als Verbreitungsnetzwerk für verschiedene Sorten von Malware erreicht.
- Das Botnet weist einige wesentliche Unterschiede zu früheren Kampagnen auf. Das deutet darauf hin, dass neue Betreiber oder ein neues Management beteiligt sind.
- Die E-Mail-Kampagnen von TA542 gehören zu den Cybercrime-Spitzenreitern, gemessen am E-Mail-Volumen. Proofpoint hat bereits Hunderttausende von Nachrichten pro Tag blockiert.
- Die Excel-Datei mit der Malware enthält Anweisungen für potenzielle Opfer, die Datei an einen Speicherort für Microsoft Office-Templates zu kopieren und sie von dort aus auszuführen. Dafür sind Administratorrechte erforderlich. Das trifft eher auf Privatrechner als auf Firmenrechner zu.
Die wesentlichen Neuerungen an Emotet
- Neue visuelle Köder für Excel-Anhänge
- Änderungen an der Emotet-Binärdatei
- Emotet nutzt eine neue Version des IcedID-Laders
- Zusätzlich zu IcedID kommt der Malware-Downloader Bumblebee zum Einsatz
Die Cybersecurity-Experten von Proofpoint gehen davon aus, dass TA542 ihre Methode weiter anpassen wird, mit dem Potenzial für höhere E-Mail-Volumina, mehr Zielregionen und neue Varianten oder Techniken angehängter oder verknüpfter Malware. Die bereits erfolgten Änderungen an der Emotet-Binärdatei lassen vermuten, dass die Cyberkriminellen auch diese weiter anpassen werden.
Emotet: Experten erwarten starken Aufstieg
Es deutet alles darauf hin, dass Emotet seine volle Funktionalität als Verbreitungsnetzwerk für viele große Malware-Familien wiedererlangen wird. Besonders interessant ist dabei, dass Emotet sich weiterentwickelt. Wir beobachten es seit Jahren, und es gibt keine Anzeichen dafür, dass es seinen Betrieb einstellt. Es stirbt immer wieder und erwacht zu neuem Leben wie eine Katze mit mehr als neun Leben.
Mehr bei Proofpoint.com
Über Proofpoint Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.