IT-Management.today IT-Management.today
  • Top Themen
  • Cloud
  • Security
  • Rechenzentrum
  • Kommunikation
  • Arbeitsplatz
  • Whitepaper
  • Veranstaltungen
  • it-sa 365
Go to...

    Emotet meldet sich mit weiteren Sprachen und QBot-Malware in umfangreichen E-Mail-Kampagnen zurück

    Jens BreimeierJens Breimeier
    31. August, 2020

    München (btn/Proofpoint) – Vor wenigen Wochen erst konnte der US-amerikanische Cybersecurity-Spezialist Proofpoint die Rückkehr der Hackergruppe TA542 (Threat Actor) und damit einhergehend der Emotet-Malware vermelden. Zuvor hatte die Gruppe ihre Aktivitäten für ganze 161 Tage eingestellt – die längste bekannte Pause dieses Bedrohungsakteurs.

    Proofpoint hat nun die aktuellen Kampagnen von TA542 in zwei neuen Blogs näher analysiert und konnte dabei bedeutende Veränderungen aufseiten der Cyberkriminellen feststellen.

    Ab dem 17. Juli dieses Jahres, also dem Wiederaufflammen der Emotet-Bedrohung, haben die Security-Experten von Proofpoint die jüngste Serie an Emotet-Kampagnen von TA542 genauestens studiert. Dabei waren die Sicherheitsforscher in der Lage, eine Reihe von Übereinstimmungen mit vergangenen Kampagnen aber auch einige bemerkenswerte Neuerungen zu beobachten. Analog zu Kampagnen, die vor der im Frühjahr selbstauferlegten Pause von TA542 stattfanden, konnte Proofpoint auch bei den aktuellen Aktivitäten der Gruppe umfangreiche Attacken via E-Mail belegen.

    Diese hatten ein Volumen von mehr als 7 Millionen Nachrichten in einem Zeitraum von 40 Tagen. Zum Vergleich: bei Kampagnen im Januar und Februar 2020 wurden über 6 Millionen Nachrichten innerhalb von 20 Tagen verzeichnet. Die Kampagnen in diesem Sommer haben ein durchschnittliches Volumen von knapp über 180.000 Nachrichten pro Tag im Vergleich zu über 300.000/Tag Anfang dieses Jahres. Die E-Mail-Kampagnen von TA542 sind damit, gemessen am Nachrichtenvolumen, mit großem Abstand die am weitest verbreitetsten – nur wenige andere Akteure kommen dem auch nur nahe.

    Darüber hinaus ist auch dieses Mal wieder eine Vielzahl von Branchen und Organisationen auf der ganzen Welt von den Kampagnen betroffen. Eine Fokussierung auf bestimmte Sektoren lässt sich daher nicht erkennen.

    Das ist neu bei Emotet

    Eine wichtige Veränderung, die bei diesen Kampagnen jedoch festgestellt werden konnte, ist, dass TA542 die regionale Verteilung seiner E-Mail-Attacken und die dabei verwendeten Sprachen weiter ausgebaut hat.

    Neben den bisher attackierten Ländern Deutschland, Österreich, Schweiz, Australien, Kanada, UK, USA, Neuseeland, Japan sowie den Vereinigten Arabischen Emiraten und Ländern in Lateinamerika, richteten sich die neuesten Angriffe auch an Empfänger in Finnland, Indien, Indonesien, Norwegen, Schweden, Vietnam sowie in den Niederlanden und den Philippinen. Zudem wurden die E-Mails auch hinsichtlich der darin verwendeten Sprachen angepasst: Diese umfassten nun auch Hindi, Indonesisch, Schwedisch, Norwegisch, Finnisch, Niederländisch, Vietnamesisch und philippinische Sprachen.

    Eine weitere bedeutende Neuerung findet sich in der Payload, die Emotet in den derzeitigen Kampagnen nachlädt. TA542 hat die Schadsoftware so konfiguriert, dass Emotet die Banking Malware (bzw. Backdoor) Qbot installiert. Nach der Infektion eines Systems stellt Qbot eine Verbindung zu einem Remote Server her, so dass die Angreifer auf das betroffene System zugreifen können. Qbot ist sodann in der Lage, Informationen wie Bank- und Finanzdaten zu stehlen sowie die getätigten Tastatureingaben zu protokollieren, wodurch Benutzernamen und Passwörter ausgespäht werden können. Ferner bedient sich TA542 in den aktuellen Kampagnen auch wieder des sogenannten „Thread-Hijacking“, also dem Einschleusen von E-Mails mit Schadinhalten in bestehende bzw. andauernde E-Mail-Threads, um die eigenen Angriffe via E-Mail legitimer erscheinen zu lassen.

    Abbildung 1: Screenshot einer E-Mail, die im Rahmen der aktuellen Emotet-Kampagnen von TA542 in deutscher Sprache versandt wurde.

    Weitere Informationen zu den Erkenntnissen von Proofpoint finden Sie hier.
    Eine detaillierte (technischere) Analyse der Aktuellen E-Mail-Kampagnen von TA542 finden Sie hier


    Über Proofpoint: Proofpoint, Inc. (NASDAQ: PFPT) ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.

     

    Tags : Emotet
    Jens Breimeier

    Jens Breimeier

    Jens Breimaier kümmert sich bei BTN Media um Business Development und den Aufbau von neuen Geschäftsfeldern. Er hat über 19 Jahren Erfahrung und Erfolg im Medien- und Onlinebusiness, u.a. bei Burda, Verlagsgruppe Milchstraße, Bauer Verlagsgruppe und Vibrant Media: "Ich arbeite mit Brands, Agenturen, Startups und Publishern im Online-Business und unterstütze sie beim Wachstum ihres Geschäfts sowie beim Aufbau von Know-How und Netzwerk. Meine Erfahrung als Sales- und BD-Verantwortlicher, sowie bei der Umsetzung von komplexen Aufgabenstellungen geben mir eine fachliche Basis und Kompetenz, die ich weiter geben möchte."

    Related Posts

    • Emotet ist zurück

      Emotet ist zurück

      Malware-Rekord 2019: Emotet mit über 30.000 Varianten in sechs Monaten

      Malware-Rekord 2019: Emotet mit über 30.000 Varianten in sechs Monaten

      Aktuelle Malware-Warnung: Emotet wird über PDF-Dokumente und Apple-Scam verteilt

      Aktuelle Malware-Warnung: Emotet wird über PDF-Dokumente und Apple-Scam verteilt

    Security

    • Rückkehr ins Büro: TÜV SÜD gibt Tipps zur IT-Sicherheit
      Rückkehr ins Büro: TÜV SÜD gibt Tipps zur IT-Sicherheit
    • Nach einer Ransomware-Infektion – Was typischerweise passiert und was stattdessen passieren sollte
      Nach einer Ransomware-Infektion - Was typischerweise passiert und was stattdessen passieren sollte
    • Angriffs-Simulation statt Blindflug in der IT-Security
      Angriffs-Simulation statt Blindflug in der IT-Security

    Kommunikation

    • Anlässlich der Hannover Messe Digital Days: Studie belegt Vorteile von Campusnetzen
      Anlässlich der Hannover Messe Digital Days: Studie belegt Vorteile von Campusnetzen
    • e-guest.de: Die kostenlose Kundendatenerfassung für Betriebe per App und Web-Applikation
      e-guest.de: Die kostenlose Kundendatenerfassung für Betriebe per App und Web-Applikation
    • Cloud Racers: Die Auswirkungen der Datenbeschleunigung durch SD-WAN
      Cloud Racers: Die Auswirkungen der Datenbeschleunigung durch SD-WAN

    Cloud

    • Network „as-a-Service” auf dem Vormarsch: Zuwachs um 41 Prozent in den nächsten zwei Jahren erwartet
      Network „as-a-Service” auf dem Vormarsch: Zuwachs um 41 Prozent in den nächsten zwei Jahren erwartet
    • Telekom und DataGuard kooperieren bei Datenschutz für den Mittelstand
      Telekom und DataGuard kooperieren bei Datenschutz für den Mittelstand
    • Corona-Gewinner in der IT sind VoIP und Office „to go“
      Corona-Gewinner in der IT sind VoIP und Office "to go"

    Newsletter abonnieren

    • Alle wichtigen News aus der Businesswelt
    • Kompakt & aktuell
    • Völlig kostenfrei
    • Abmeldung ist jederzeit möglich.
    • Melden Sie sich jetzt an:

      Vielen Dank für Ihre Registrierung! Bitte prüfen Sie Ihren Posteingang oder Spam-Ordner, um das Abonnement zu bestätigen.

    Rechenzentrum

    • ERP als Know-How-Speicher: Wissensmanagement in Unternehmen
      ERP als Know-How-Speicher: Wissensmanagement in Unternehmen
    • Angriffs-Simulation statt Blindflug in der IT-Security
      Angriffs-Simulation statt Blindflug in der IT-Security
    • Neue Industrial Ethernet Verkabelungslösungen von HARTING
      Neue Industrial Ethernet Verkabelungslösungen von HARTING

    Arbeitsplatz

    • Mitarbeitergeräte als tickende Zeitbomben nach dem Home Office
      Mitarbeitergeräte als tickende Zeitbomben nach dem Home Office
    • Display für höchste Farbpräzision, ergonomisches Arbeiten und einen effizienteren Workflow
      Display für höchste Farbpräzision, ergonomisches Arbeiten und einen effizienteren Workflow
    • Sicherheitsbewusstsein gestalten – auch im Home Office
      Sicherheitsbewusstsein gestalten – auch im Home Office

    Whitepaper Downloads

    • Was den IT-Entscheidern den Schlaf raubt
      Was den IT-Entscheidern den Schlaf raubt
    • Zeit und Geld sparen – mit Cloud-native Backup & Disaster Recovery
      Zeit und Geld sparen – mit Cloud-native Backup & Disaster Recovery
    • Bedrohung durch Bots – Wie Ihr Unternehmen sich am besten vor Betrug schützt
      Bedrohung durch Bots - Wie Ihr Unternehmen sich am besten vor Betrug schützt

    Menü

    • Home
    • Cloud
    • Security
    • Rechenzentrum
    • Kommunikation
    • Arbeitsplatz
    • Whitepaper
    • Veranstaltungen

    Service

    • Mediadaten
    • Newsletter abonnieren
    • Newsletter abmelden
    • Impressum
    • Datenschutz
    • AGB

    Weitere BTN-Portale

    • IT-Cloud.today
    • IT-Outsourcing.today
    • ITSicherheit.today
    • Virtualisierung.today
    • Datenmanagement.today
    • Mobile-Computing.today

    Eine Marke von

    BTN Logo
    © 2020 IT-Management.today | All Rights Reserved