Sophos-Studienergebnisse zu reaktivierten Emotet Botnets

Sophos News

Beitrag teilen

Sicherheitsforscher in den SophosLabs haben sich intensiv mit den aktuellen Aktivitäten des reaktivierten Emotet Botnets befasst. Sie beschreiben, wie Emotet aktuell CFF einsetzt, eine Codierungstechnik, die von der Malware des Botnets verwendet wird, um sich zu tarnen und vor Sicherheitsmaßnahmen zu verstecken.

Emotet war einer der professionellsten und langlebigsten Cyberkriminalitätsdienste und Malware-Infektionen in der Bedrohungslandschaft. Das Botnet war bereits kurz nach seinem Debüt im Jahr 2014 berüchtigt und wurde im Januar 2021 durch eine multinationale Strafverfolgungsmaßnahme gestoppt, die seine Aktivitäten für fast ein Jahr unterband. Im November 2021 tauchte das Botnet schließlich wieder auf und erschien erneut auf dem Radar von Sophos.

Emotet: Wieder auf dem Radar

„Nach einer durch die Strafverfolgungsbehörden erwirkten Pause von fast einem Jahr ist das berüchtigte Emotet-Botnet wieder auf dem Vormarsch, wie die Sandboxen und Überwachungssysteme der SophosLabs zeigen,“ sagt Andreas Klopsch, Sicherheitsforscher der SophosLabs.

„Das Balkendiagramm oben zeigt das Aufkommen von Emotet, das im ersten Quartal 2022 in den Sandbox-Systemen von Sophos entdeckt wurden. Wie aus dem Diagramm hervorgeht, erhalten wir täglich mehrere Emotet-Einsendungen; wir gehen davon aus, dass es sich bei den wiederkehrenden größeren Ausschlägen um groß angelegte Kampagnen handelt. Emotet wird hauptsächlich über E-Mail-Spam verbreitet, und mehr bösartige E-Mails führen natürlich zu mehr Sandbox-Einsendungen“, so der Forscher weiter.

Ebenso ist dem Forschungsteam aufgefallen, dass Emotet oft CFF als Beschleuniger einsetzt, um die Verteidigung zu verlangsamen; eine Technik, die seit 2020 angewendet wird.

Verschleierung als Taktik

„CFF ist eine bekannte Verschleierungstechnik, die dazu dient, die Absicht von Malware zu verdecken, und es den Verteidigern erschwert, die Angriffe zu verstehen und sich dagegen zu schützen. Der Prozess zur Beseitigung dieser Verschleierungstechnik wird als ‚Unflattening‘ bezeichnet. Unserem Forscherteam in den SophosLabs ist es gelungen, den Großteil der verschleierten Funktionen aufzudecken und mehrere zusätzliche Verschleierungsschichten zu durchbrechen. Dies ermöglicht es uns, tiefer in die internen Abläufe von Emotet einzudringen. Dies ermöglicht Unternehmen eine bessere Erkennung und eine schnellere Reaktionszeit bei einem Emotet-Angriff.“, so Andreas Klopsch.

Sophos hat außerdem ein Tool auf GitHub veröffentlicht, das Verteidigern dabei hilft, Stapel von CFF-Schichten in einem Emotet-Angriff zu „unflatten“ und zu entschleiern.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Deutschland: 223 Milliarden Euro Schaden durch Cyberangriffe

223 Milliarden Euro – so viel Schaden verursachen Cyberangriffe laut einer Bitkom-Studie jährlich für die deutsche Wirtschaft. Rund 20 Prozent ➡ Weiterlesen

Studie: Unternehmen besorgt über wachsende Angriffsfläche

Eingeschränkte Visibilität und Kontrolle bedrohen laut Studie von Trend Micro die IT-Sicherheit von Unternehmen weltweit. Die aktuelle Cyberrisiko-Studie zeigt: Unternehmen sorgen ➡ Weiterlesen

Ransomware: Jedes 2. Unternehmen im 1. Halbjahr attackiert

Eine Cohesity-Studie zeigt: Fast die Hälfte der Unternehmen wurde in den letzten sechs Monaten von Ransomware attackiert. Eine mangelnde Zusammenarbeit ➡ Weiterlesen

Cyber-Attacken auf Industrie kosten Unternehmen Millionen

Eine Studie von Trend Micro untersucht Auswirkungen von Cyber-Attacken auf industrielle Systeme. Für deutsche Unternehmen, deren OT und Steuerungssysteme von ➡ Weiterlesen

Fehlende Fachkräfte gefährden die Cyber-Sicherheit

Trellix-Umfrage: Fehlende Fachkräfte gefährden laut einer aktuellen Studie in 85 % aller Unternehmen die Cyber-Sicherheit. Globale Befragung von Cybersecurity-Profis zeigt Auswege ➡ Weiterlesen

Mitarbeiter wünschen sich Alternative zum Passwort

Eine Umfrage unter 1.010 Mitarbeitern zeigt häufige Fehler und Probleme im Zusammenhang mit Passwörtern auf. 45 Prozent der Mitarbeiter in deutschen ➡ Weiterlesen

Ransomware-Opfer: 88 Prozent der Firmen würden wieder zahlen

Zwei Drittel der Unternehmen weltweit wurden bereits Opfer von Ransomware. Gleichzeitig hat Kaspersky in einer Umfrage festgestellt, dass 88 Prozent der ➡ Weiterlesen

80 Prozent deutscher Unternehmen rechnen mit Cyber-Attacke

Die Arbeit aus dem Homeoffice und via Cloud-Infrastrukturen sind Quellen der größten Cybersicherheitsrisiken für Unternehmen. Daher rechnen über 80 Prozent ➡ Weiterlesen