Das gab es noch nie: Ende April beging das Schadprogramm Emotet rund um den Globus auf zehntausenden damit infizierten Computern sozusagen Selbstmord. Es löschte sich von selbst. Für den digitalen Suizid des Cyberschädlings waren indes nicht seine Entwickler verantwortlich, sondern Spezialisten des deutschen IT-Sicherheitsdienstleisters G-Data. Sie hatten den Selbstzerstörungsmechanismus für jenes internationale Ermittlerteam programmiert, das Ende Januar die bis dato weltweit gefährlichste Cybercrimeplattform weltweit in einem riskanten Coup erst übernommen und dann lahmgelegt hatte.
Drei Monate lang dokumentierten und untersuchten die Fahnder seither die befallenen Rechner. Dann deinstallierte sich der Schädling am 25. April automatisch. Arne Schönbohm, der Präsident des Bundesamtes für die Sicherheit in der Informationstechnik (BSI), hatte ihn einmal den „König der Schadsoftware“ genannt. Immerhin hatte Emotet in den vergangenen Jahren Schäden in Höhe von mehr als 2,5 Milliarden Dollar verursacht.
Nun ist zwar der König tot, langfristig sicherer aber wird es im Internet deshalb nicht. Zwar hinterlässt der Schlag der Fahnder gegen den Emotet-Trojaner eine große Lücke in der arbeitsteiligen Schattenwirtschaft im Netz. Dort war Emotet zuletzt mehr als zuverlässiger und gefährlicher Verteiler anderer Schadprogramme gefürchtet, denn als reines Spionageprogramm, als das er vor sieben Jahren gestartet war.
Stapelweise Goldbarren
So nutzten etwa die Kriminellen hinter Erpressungsprogrammen wie TrickBot, Ryuk oder QakBot den Schädling Emotet als höchst effektives Transportmittel. Dieses verteilte ihre Schädlinge weltweit auf Tausende infizierte Rechner oder verschickte sie von dort aus an weitere Opfer. Für die Emotet-Entwickler war das ein überaus lukratives Geschäft, wie die mehr als 50 Goldbarren belegen, die Fahnder beim Netzwerk-Manager der Emotet-Plattform fanden. Damit ist nun Schluss.
Doch längst existieren andere Plattformen, die ähnliche Dienste anbieten. Wie virulent diese Gefahr ist, beweist in diesen Tagen die erfolgreiche Hackerattacke auf den nordamerikanischen Pipelinebetreiber Colonial Pipeline (CP). Der Angriff mit Erpressungssoftware hat in den USA nicht bloß zu Hamsterkäufen an Tankstellen, sondern auch zu einem drastischen Preisanstieg auf den Treibstoffmärken geführt. Erst nach Zahlung von fünf Millionen Dollar Lösegeld, berichtet die Nachrichtenagentur Bloomberg, schickten die Erpresser, die der Hackergruppe „DarkSide“ zugerechnet werden, einen Entschlüsselungscode.
Am Freitag, 14. Mai, musste auch Irlands öffentlicher Gesundheitsdienst Health Service Executive (HSE) nach einem schweren Hackerangriff alle IT-Systeme herunterfahren. „Es ist ein sehr ausgefeilter Angriff, nicht nur eine Standardattacke“, so HSE-Chef Paul Reid. Ersten Erkenntnissen zufolge wurde bei der Cyberattacke ähnliche Erpressungssoftware verwendet, wie bei dem Hackerangriff auf die US-Pipeline. Irlands Premierminister Micheál Martin schloss am Freitag Lösegeldzahlungen bereits aus: „Um es ganz klar zu sagen, wir werden nicht zahlen.“
Und auch der der japanische Technologiekonzern Toshiba bestätigte am Freitag, in Europa Opfer eines erpresserischen Angriffs geworden zu sein. Die Tochter Toshiba Tec sei Anfang Mai von „DarkSide“ gehackt worden, erklärte das Unternehmen. Es sei aber nur eine geringe Menge an Daten verloren gegangen.
Schon im Herbst des vergangenen Jahres war Sicherheitsspezialisten aufgefallen, dass die Hackergruppe „DarkSide“ anderen Cyberkriminellen angeboten hatte, Erpressungsprogramme auch als Dienstleistung für Dritte im Netz zu verbreiten. Auf dieses, „Malware-as-a-Service“ genannte, Geschäftsmodell hatten sich in den vergangenen Jahren auch die Emotet-Betreiber spezialisiert.
Qbot breitet sich aus
Aktuelle Analysen der Emotet-Jäger von G-Data zeigen zudem, dass speziell das Schadprogramm Qbot an mittlerweile mehr als jedem fünften abgewehrten Angriff beteiligt ist. Auch Qbot war – wie Emotet – zunächst als Trojaner gestartet, der Zugangsdaten für Online-Banking-Konten ausforschen sollte. Und auch dieser Schädling wurde von seinen Entwicklern inzwischen zu einer Art Universalwerkzeug aufgebohrt, das weitere Schadprogramme auf den infizierten Rechner nachinstallieren kann.
Und das ist nicht der einzige potenzielle Thronfolger unter Emotets Erben. Auch Schädlinge wie BazarCall und IcedID, die ebenfalls Hintertüren in betroffene IT-Systeme öffnen können, bereiten den Cyberschützern zunehmend Kopfzerbrechen. Daneben haben auch die Entwickler von TrickBot, Ryuk oder QakBot ihre Erpressungsprogramme inzwischen so aufgerüstet, dass sie auch ohne Unterstützung durch andere kriminelle Dienstleister schwere Schäden verursachen können.
Seine Erben, das zeigt der Fall überdeutlich, sind keinen Deut weniger gefährlich als der alte, tote König Emotet.
Mehr zum Thema: Cyberkriminelle sehen es zunehmend auf die Betriebsgeheimnisse deutscher Mittelständler ab – und laden diese oft ins Darknet. Doch was passiert eigentlich im digitalen Untergrund mit den Daten?