Sophos-Studienergebnisse zu reaktivierten Emotet Botnets

Sophos News

Beitrag teilen

Sicherheitsforscher in den SophosLabs haben sich intensiv mit den aktuellen Aktivitäten des reaktivierten Emotet Botnets befasst. Sie beschreiben, wie Emotet aktuell CFF einsetzt, eine Codierungstechnik, die von der Malware des Botnets verwendet wird, um sich zu tarnen und vor Sicherheitsmaßnahmen zu verstecken.

Emotet war einer der professionellsten und langlebigsten Cyberkriminalitätsdienste und Malware-Infektionen in der Bedrohungslandschaft. Das Botnet war bereits kurz nach seinem Debüt im Jahr 2014 berüchtigt und wurde im Januar 2021 durch eine multinationale Strafverfolgungsmaßnahme gestoppt, die seine Aktivitäten für fast ein Jahr unterband. Im November 2021 tauchte das Botnet schließlich wieder auf und erschien erneut auf dem Radar von Sophos.

Emotet: Wieder auf dem Radar

„Nach einer durch die Strafverfolgungsbehörden erwirkten Pause von fast einem Jahr ist das berüchtigte Emotet-Botnet wieder auf dem Vormarsch, wie die Sandboxen und Überwachungssysteme der SophosLabs zeigen,“ sagt Andreas Klopsch, Sicherheitsforscher der SophosLabs.

„Das Balkendiagramm oben zeigt das Aufkommen von Emotet, das im ersten Quartal 2022 in den Sandbox-Systemen von Sophos entdeckt wurden. Wie aus dem Diagramm hervorgeht, erhalten wir täglich mehrere Emotet-Einsendungen; wir gehen davon aus, dass es sich bei den wiederkehrenden größeren Ausschlägen um groß angelegte Kampagnen handelt. Emotet wird hauptsächlich über E-Mail-Spam verbreitet, und mehr bösartige E-Mails führen natürlich zu mehr Sandbox-Einsendungen“, so der Forscher weiter.

Ebenso ist dem Forschungsteam aufgefallen, dass Emotet oft CFF als Beschleuniger einsetzt, um die Verteidigung zu verlangsamen; eine Technik, die seit 2020 angewendet wird.

Verschleierung als Taktik

„CFF ist eine bekannte Verschleierungstechnik, die dazu dient, die Absicht von Malware zu verdecken, und es den Verteidigern erschwert, die Angriffe zu verstehen und sich dagegen zu schützen. Der Prozess zur Beseitigung dieser Verschleierungstechnik wird als ‘Unflattening’ bezeichnet. Unserem Forscherteam in den SophosLabs ist es gelungen, den Großteil der verschleierten Funktionen aufzudecken und mehrere zusätzliche Verschleierungsschichten zu durchbrechen. Dies ermöglicht es uns, tiefer in die internen Abläufe von Emotet einzudringen. Dies ermöglicht Unternehmen eine bessere Erkennung und eine schnellere Reaktionszeit bei einem Emotet-Angriff.“, so Andreas Klopsch.

Sophos hat außerdem ein Tool auf GitHub veröffentlicht, das Verteidigern dabei hilft, Stapel von CFF-Schichten in einem Emotet-Angriff zu “unflatten” und zu entschleiern.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Angriffe über QR-Code-Routing

Ein Anbieter von Cyber-Sicherheitslösungen, hatte bereits festgestellt, dass QR-Code-Phishing als Betrugsversuch zwischen August und September 2023 um 587 Prozent in ➡ Weiterlesen

Unternehmen geben 10 Mrd. Euro für Cybersicherheit aus

Deutschland wappnet sich gegen Cyberangriffe und investiert dazu mehr denn je in IT- und Cybersicherheit. Im laufenden Jahr werden die ➡ Weiterlesen

Qakbot bleibt gefährlich

Sophos X-Ops hat eine neue Variante der Qakbot-Malware entdeckt und analysiert. Erstmals traten diese Fälle Mitte Dezember auf und sie ➡ Weiterlesen

VexTrio: bösartigster DNS-Bedrohungsakteur identifiziert

Ein Anbieter für DNS-Management und -Sicherheit hat VexTrio, ein komplexes, kriminelles Affiliate-Programm enttarnt und geblockt. Damit erhöhen sie die Cybersicherheit. ➡ Weiterlesen

Ein Comeback von Lockbit ist wahrscheinlich

Für Lockbit ist es elementar wichtig, schnell wieder sichtbar zu sein. Opfer sind mutmaßlich weniger zahlungsfreudig, solange es Gerüchte gibt, ➡ Weiterlesen

LockBit lebt

Vor wenigen Tagen ist internationalen Strafverfolgungsbehörden ein entscheidender Schlag gegen Lockbit gelungen. Laut einem Kommentar von Chester Wisniewski, Director, Global ➡ Weiterlesen

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen

Neue Masche Deep Fake Boss

Anders als bei klassischen Betrugsmaschen wie der E-Mail-gestützten Chef-Masche, greift die Methode  Deep Fake Boss auf hochtechnologische Manipulation zurück, um ➡ Weiterlesen