Sophos-Studienergebnisse zu reaktivierten Emotet Botnets

Sophos News

Beitrag teilen

Sicherheitsforscher in den SophosLabs haben sich intensiv mit den aktuellen Aktivitäten des reaktivierten Emotet Botnets befasst. Sie beschreiben, wie Emotet aktuell CFF einsetzt, eine Codierungstechnik, die von der Malware des Botnets verwendet wird, um sich zu tarnen und vor Sicherheitsmaßnahmen zu verstecken.

Emotet war einer der professionellsten und langlebigsten Cyberkriminalitätsdienste und Malware-Infektionen in der Bedrohungslandschaft. Das Botnet war bereits kurz nach seinem Debüt im Jahr 2014 berüchtigt und wurde im Januar 2021 durch eine multinationale Strafverfolgungsmaßnahme gestoppt, die seine Aktivitäten für fast ein Jahr unterband. Im November 2021 tauchte das Botnet schließlich wieder auf und erschien erneut auf dem Radar von Sophos.

Emotet: Wieder auf dem Radar

„Nach einer durch die Strafverfolgungsbehörden erwirkten Pause von fast einem Jahr ist das berüchtigte Emotet-Botnet wieder auf dem Vormarsch, wie die Sandboxen und Überwachungssysteme der SophosLabs zeigen,“ sagt Andreas Klopsch, Sicherheitsforscher der SophosLabs.

„Das Balkendiagramm oben zeigt das Aufkommen von Emotet, das im ersten Quartal 2022 in den Sandbox-Systemen von Sophos entdeckt wurden. Wie aus dem Diagramm hervorgeht, erhalten wir täglich mehrere Emotet-Einsendungen; wir gehen davon aus, dass es sich bei den wiederkehrenden größeren Ausschlägen um groß angelegte Kampagnen handelt. Emotet wird hauptsächlich über E-Mail-Spam verbreitet, und mehr bösartige E-Mails führen natürlich zu mehr Sandbox-Einsendungen“, so der Forscher weiter.

Ebenso ist dem Forschungsteam aufgefallen, dass Emotet oft CFF als Beschleuniger einsetzt, um die Verteidigung zu verlangsamen; eine Technik, die seit 2020 angewendet wird.

Verschleierung als Taktik

„CFF ist eine bekannte Verschleierungstechnik, die dazu dient, die Absicht von Malware zu verdecken, und es den Verteidigern erschwert, die Angriffe zu verstehen und sich dagegen zu schützen. Der Prozess zur Beseitigung dieser Verschleierungstechnik wird als ‚Unflattening‘ bezeichnet. Unserem Forscherteam in den SophosLabs ist es gelungen, den Großteil der verschleierten Funktionen aufzudecken und mehrere zusätzliche Verschleierungsschichten zu durchbrechen. Dies ermöglicht es uns, tiefer in die internen Abläufe von Emotet einzudringen. Dies ermöglicht Unternehmen eine bessere Erkennung und eine schnellere Reaktionszeit bei einem Emotet-Angriff.“, so Andreas Klopsch.

Sophos hat außerdem ein Tool auf GitHub veröffentlicht, das Verteidigern dabei hilft, Stapel von CFF-Schichten in einem Emotet-Angriff zu „unflatten“ und zu entschleiern.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Entspannung beim Fachkräftemangel in der IT-Sicherheit

Die Welt steht still, so scheint es, doch der Schein trügt. Wie für so viele IT-Themen gehören auch Managed Security ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Forscher decken Angriffe auf europäische Luftfahrt- und Rüstungskonzerne auf

ESET-Forscher decken gezielte Angriffe gegen hochkarätige europäische Luftfahrt- und Rüstungskonzerne auf. Gemeinsame Untersuchung in Zusammenarbeit mit zwei der betroffenen europäischen Unternehmen ➡ Weiterlesen

Trends und Tipps zur Weiterentwicklung moderner CISOs

Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft "Building the Future of Security Leadership"(Aufbau künftiger Sicherheitsexperten). ➡ Weiterlesen

Java-Malware kopiert Passwörter

G Data-Forscher decken auf: Java-Malware kopiert Passwörter und ermöglicht auch noch die Fernsteuerung via RDP. Eine in Java entwickelte neu ➡ Weiterlesen

Vertrauen auf VPN für den sicheren Zugriff

SANS Institute, ein Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Untersuchung „Remote Worker Poll“ zur Verbreitung von Home Office Security ➡ Weiterlesen

Hackergruppe gibt auf und veröffentlicht Schlüssel

Manchmal beschleicht wohl auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an ➡ Weiterlesen

Bösartige Chrome Extensions führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten ➡ Weiterlesen