Emotet-Kampagne nimmt wieder Fahrt auf

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

TA542, eine Gruppe Cyberkrimineller, die Emotet-Malware verbreitet, hat ihre Sommerpause beendet und startet immer mehr neue Kampagnen. Allerdings auch mit veränderten Emotet-Varianten.

Die Gruppe TA542 war fast vier Monate lang von der Bildfläche verschwunden und wurde im Sommer am 13. Juli 2022 zuletzt in Aktion gesehen. Seit dem 2. November beobachten die Security-Spezialisten von Proofpoint neue Aktivitäten von TA542 – insbesondere auch in Deutschland.

Anzeige

Wesentliche Erkenntnisse zu den Emotet-Kampagnen

  • TA542 verwendet in den neuen Kampagnen angepasste Emotet-Varianten. Die Änderungen (s.u.) betreffen die verwendeten Payloads und Köder ebenso wie Änderungen an den Emotet-Modulen, dem Loader und dem Packer.
  • Emotet liefert jetzt auch den Banking-Trojaner IcedID aus.
  • Die neuen Aktivitäten deuten darauf hin, dass Emotet wieder seine volle Funktionalität als Verbreitungsnetzwerk für verschiedene Sorten von Malware erreicht.
  • Das Botnet weist einige wesentliche Unterschiede zu früheren Kampagnen auf. Das deutet darauf hin, dass neue Betreiber oder ein neues Management beteiligt sind.
  • Die E-Mail-Kampagnen von TA542 gehören zu den Cybercrime-Spitzenreitern, gemessen am E-Mail-Volumen. Proofpoint hat bereits Hunderttausende von Nachrichten pro Tag blockiert.
  • Die Excel-Datei mit der Malware enthält Anweisungen für potenzielle Opfer, die Datei an einen Speicherort für Microsoft Office-Templates zu kopieren und sie von dort aus auszuführen. Dafür sind Administratorrechte erforderlich. Das trifft eher auf Privatrechner als auf Firmenrechner zu.

Die wesentlichen Neuerungen an Emotet

  • Neue visuelle Köder für Excel-Anhänge
  • Änderungen an der Emotet-Binärdatei
  • Emotet nutzt eine neue Version des IcedID-Laders
  • Zusätzlich zu IcedID kommt der Malware-Downloader Bumblebee zum Einsatz

Die Cybersecurity-Experten von Proofpoint gehen davon aus, dass TA542 ihre Methode weiter anpassen wird, mit dem Potenzial für höhere E-Mail-Volumina, mehr Zielregionen und neue Varianten oder Techniken angehängter oder verknüpfter Malware. Die bereits erfolgten Änderungen an der Emotet-Binärdatei lassen vermuten, dass die Cyberkriminellen auch diese weiter anpassen werden.

Emotet: Experten erwarten starken Aufstieg

Es deutet alles darauf hin, dass Emotet seine volle Funktionalität als Verbreitungsnetzwerk für viele große Malware-Familien wiedererlangen wird. Besonders interessant ist dabei, dass Emotet sich weiterentwickelt. Wir beobachten es seit Jahren, und es gibt keine Anzeichen dafür, dass es seinen Betrieb einstellt. Es stirbt immer wieder und erwacht zu neuem Leben wie eine Katze mit mehr als neun Leben.

Anzeige
WatchGuard_Banner_0922

Mehr bei Proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Schwachstelle in Netgear-Router lässt externen Zugriff zu

Tenable hat eine Schwachstelle in einem neuen NETGEAR-Router entdeckt. Der beliebte WiFi 6-Router ist bekannt für seine große Flächenabdeckung und ➡ Weiterlesen

Mitarbeiter: 90 Prozent brauchen Basisschulung in Cybersicherheit

89 Prozent der Mitarbeiter in Unternehmen benötigen Cybersicherheitsschulungen. Etwa jeder Dritte Mitarbeiter kann dabei nicht ausreichend Wissen zum Umgang mit ➡ Weiterlesen

Cyber-Attacken gegen ausländische Regierung

Forscher von Avanan, berichten über Angriffe auf den karibischen Inselstaat Föderation St. Kitts und Nevis und erklären, wie Hacker dort ➡ Weiterlesen

CryWiper: Ransomware zerstört in Wirklichkeit die Daten

Die Experten von Kaspersky haben eine neue Ransomware entdeckt: CryWiper. Sie agiert zu Beginn wie eine Verschlüsselungs-Software. Aber die Daten ➡ Weiterlesen

MacOS Monterey: Endpoint-Schutz-Lösungen im Test

AV-TEST hat im September & Oktober 2022 im Labor 6 Endpoint-Schutz-Lösungen für Unternehmen unter MacOS Monterey geprüft. Zusätzlich wurden 7 ➡ Weiterlesen

LockBit senkt Preis für Continental-Daten auf 40 Millionen Dollar

LockBit hat bei seinem Ransomware-Angriff auf Continental über 40.000 Gigabyte Daten entwendet. Mit dabei: vertrauliche Unterlagen von VW, BMW, Mercedes. ➡ Weiterlesen

Cyber Threat Report zeigt neue Taktiken bei Cyber-Gangs

Der Bedrohungsbericht zeigt signifikante Veränderungen bei Ransomware-Gangs und Malware-Kampagnen auf. Im Cyber Threat Report von Deep Instinct gibt es Hinweise ➡ Weiterlesen

Kennen Angestellte die IT-Notfallpläne im Unternehmen?

G DATA Studie zeigt: Große Unternehmen sind besser auf IT-Notfälle vorbereitet als kleine Firmen. Das belegt die aktuelle Studie „Cybersicherheit ➡ Weiterlesen