YA­RA-Si­gna­tur zur Iden­ti­fi­zie­rung der Emo­tet-Mal­wa­re

Mit der Pressemitteilung vom 27.01.2021 informierte das Bundeskriminalamt über die international koordinierte Aktion gegen die Betreiber der Schadsoftware Emotet und die Zerschlagung der Emotet-Infrastruktur.

Durch die durchgeführten Maßnahmen konnten bis dato mehr als 50.000 IT-Systeme1 auf die zur Beweissicherung eingerichteten Infrastruktur umgeleitet werden.

Die endgültige Bereinigung der Schadsoftware auf den infizierten IT-Systemen muss durch die Betroffenen selbst erfolgen. Hierfür werden die festgestellten IP-Adressen durch das Bundeskriminalamt täglich an das Bundesamt für die Sicherheit in der Informationstechnik (BSI) übermittelt, das die Maßnahmen zur Information der Betroffenen weiter vorantreibt.

Ergänzend zur Information der Betroffenen veröffentlicht das Bundeskriminalamt hiermit ebenfalls die „YARA“-Signaturen2. der Emotet-Varianten. Dies soll insbesondere Systemadministratoren und Sicherheitsforschern ermöglichen, sowohl den quarantänisierten, täterseitigen Schadcode als auch das durch das BKA ausgelieferte Binary zu identifizieren.

Mittels dieser YARA-Signaturen können Sie feststellen, ob Sie von einer Infektion betroffen sind. Sollten Sie bereits von Ihrem Provider informiert worden sein und Bereinigungsmaßnahmen durchgeführt haben, so kann die Nutzung der YARA-Signatur eine weitere Prüfungsmaßnahme für Netzwerke darstellen. Das BKA übergibt die YARA-Signatur auch an Hersteller von Antiviren-Programmen.

Bitte prüfen Sie Ihre Systeme und Netzwerke, sollten Sie den Verdacht haben betroffen zu sein.

Wenn Sie von Ihrem Provider über eine Infektion informiert wurden, bitte reagieren Sie.

Die Hauptaufgabe der Malware Emotet war das Nachladen weiterer Schadsoftware, Sie müssen daher davon ausgehen, dass sich neben der Infektion mit Emotet auch weitere Schadsoftwareauf mindestens einem Computersystem in Ihrem lokalen Netzwerk befindet. Sorgen Sie daher unbedingt für eine Desinfektion ihrer Systeme!

Hinweise, wie Sie eine solche Bereinigung durchführen, finden Sie beispielsweise auf der Webseite des BSI.

Schützen Sie sich und damit auch andere!

Technische Indikatoren


1 Es ist davon auszugehen, dass diese Zahl einer gewissen Unschärfe unterliegt, da beispielsweise IT-Sicherheitsforscher mittels Analysesystemen fortlaufende Verbindungen als „neue Opfersysteme“ erzeugen und somit auch immer wieder neue „Bots“ zum Sinkhole kommunizieren lassen.
2 Beim Framework namens „YARA“ handelt es sich um ein von der Firma „Virustotal“ entwickeltes quelloffenes Framework zur Mustererkennung.

Verwandte Artikel

BKA: Europaweiter Aktionstag gegen Hasspostings

BKA: Europaweiter Aktionstag gegen Hasspostings

Seit den frühen Morgenstunden des 03. November 2020 sind europaweit Polizistinnen und Polizisten im Rahmen eines Aktionstages gegen Hass und Hetze im Internet im Einsatz. 96 Beschuldigte werden zu ihren im Internet veröffentlichten Hasskommentaren...

Bundeskriminalamt stärkt die Cybercrimebekämpfung

Bundeskriminalamt stärkt die Cybercrimebekämpfung

Das Bundeskriminalamt (BKA) richtet zum 01.04.2020 die Abteilung "Cybercrime" (CC) ein und vollzieht damit einen weiteren wichtigen Schritt, um Kompetenzen zur Bekämpfung dieses Phänomens zu bündeln und die erforderliche Spezialisierung...

Digitale Konvergenz im Sicherheitsbereich

Digitale Konvergenz im Sicherheitsbereich

Kriminalhauptkommissar Peter Vahrenhorst sprach mit CP Online über die digitale Konvergenz im Sicherheitsbereich. Die Zusammenarbeit des LKA NRW mit der Wirtschaft spielt in diesem Bereich bereits eine große Rolle, die in den nächsten Jahren noch...

: