Security-Reports

Mehr gezielte Angriffe, Emotet wieder aktiv

24. November 2022, 11:30 Uhr | Wilhelm Greiner | Kommentar(e)
Trellix
© Trellix

Die Cybercrime-Gruppierung TA542, Betreiber der gefürchteten Malware-Infrastruktur Emotet, ist nach mehrmonatiger Auszeit nun wieder aktiv.

Das berichtet der Security-Anbieter Proofpoint aus dem kalifornischen Sunnyvale. Trellix – unter dieser Marke sind seit Jahresanfang die beiden US-Anbieter FireEye und McAfee vereint – sieht Deutschland dabei auf Platz 1 der Ziele von Cyberkriminellen. Der Bochumer Security-Spezialist G Data CyberDefense hingegen berichtet von rückläufigen beobachteten Angriffszahlen – aber auch von gezielteren Aktivitäten mittels tückischer Malware.

Die Security-Fachleute von Proofpoint warnen davor, dass die Gruppierung TA542, die die Emotet-Malware verbreitet, ihre Arbeit in großem Maßstab und mit neuen Methoden wieder aufgenommen hat. Die Gruppe war laut Proofpoint am 13. Juli zuletzt in Erscheinung getreten und danach fast vier Monate lang von der Bildfläche verschwunden. Doch seit dem 2. November beobachte man neue Aktivitäten von TA542 – insbesondere auch in Deutschland.

Dies deutet nach Proofpoint-Angaben darauf hin, dass Emotet wieder seine volle Funktionalität als Verbreitungsnetzwerk für verschiedene Sorten von Malware erreicht. Das Botnet weise einige wesentliche Unterschiede zu früheren Kampagnen auf. Dies könne heißen, dass neue Betreiber oder eine neue Führung beteiligt sind.

TA542 verwendet laut Proofpoint-Erkenntnissen in den aktuellen Kampagnen angepasste Emotet-Varianten. Änderungen gebe es an den Payloads und Ködern, ebenso an den Emotet-Modulen, dem Loader und dem Packer. So liefere die Malware jetzt auch den Banking-Trojaner IcedID aus.

Die E-Mail-Kampagnen von TA542 gehören laut den XDR-Experten (Extended Detection and Response) zu den Cybercrime-Spitzenreitern, gemessen am E-Mail-Volumen. Proofpoint habe bereits Hunderttausende entsprechender Nachrichten pro Tag blockiert.

Hauptziel Deutschland
Auch Trellix warnt, hiesige IT-Infrastrukturen seien verstärkt im Visier der Cyberkriminellen: „Deutschland steht im weltweiten Vergleich auf Platz 1 bei kriminellen Angriffen im dritten Quartal 2022“, so Andreas Groß, Senior Manager Presales bei Trellix, zum aktuellen Threat Report des US-Anbieters.

„Deutsche Unternehmen und Organisationen stehen vor enormen Herausforderungen, ihre kritischen Infrastrukturen zu sichern. Um eine umfassende IT-Sicherheitsstrategie zu garantieren, muss Cybersicherheit spätestens jetzt zu einem der Top-Agendapunkte für Vorstände und Führungskräfte werden“, fordert Groß.

Laut dem Trellix-Bericht hat im letzten Quartal die Zahl der Ransomware-Angriffe auf Deutschland um 32 Prozent zugenommen. Zum Vergleich: In den USA waren es plus neun Prozent, in Israel hingegen minus 52 Prozent. 29 Prozent der beobachteten APT-Angriffe (Advanced Persistent Threat, professionelle organisierte Angreifergruppe) seien auf Deutschland entfallen. Auf Platz 2 lagen hier die USA mit 16 Prozent.

Am auffälligsten war im dritten Quartal laut dem US-Security-Anbieter eine „Mustang Panda“ getaufte APT-Gruppierung, die laut Fachleuten mit China in Verbindung steht. Ebenfalls sehr aktiv waren laut Trellix die russische Hackergruppe APT29 wie auch APT36 aus Pakistan.


  1. Mehr gezielte Angriffe, Emotet wieder aktiv
  2. Neue Angriffswege

Verwandte Artikel

Proofpoint, G Data, McAfee

G Data 2021

IT-Security

Matchmaker+