Bundeskriminalamt (BKA)

YARA-Signatur zur Identifizierung der Emotet-Malware

  • Datum:16. April 2021

Mit Pressemitteilung vom 27.01.2021 informierte das Bundeskriminalamt über die international koordinierte Aktion gegen die Betreiber der Schadsoftware Emotet und die Zerschlagung der Emotet-Infrastruktur.

Durch die durchgeführten Maßnahmen konnten bis dato mehr als 50.000 IT-Systeme1 auf die zur Beweissicherung eingerichteten Infrastruktur umgeleitet werden.

Die endgültige Bereinigung der Schadsoftware auf den infizierten IT-Systemen muss durch die Betroffenen selbst erfolgen. Hierfür werden die festgestellten IP-Adressen durch das Bundeskriminalamt täglich an das Bundesamt für die Sicherheit in der Informationstechnik (BSI) übermittelt, das die Maßnahmen zur Information der Betroffenen weiter vorantreibt.

Ergänzend zur Information der Betroffenen veröffentlicht das Bundeskriminalamt hiermit ebenfalls die „YARA“-Signaturen2. der Emotet-Varianten. Dies soll insbesondere Systemadministratoren und Sicherheitsforschern ermöglichen, sowohl den quarantänisierten, täterseitigen Schadcode als auch das durch das BKA ausgelieferte Binary zu identifizieren.

Mittels dieser YARA-Signaturen können Sie feststellen, ob Sie von einer Infektion betroffen sind. Sollten Sie bereits von Ihrem Provider informiert worden sein und Bereinigungsmaßnahmen durchgeführt haben, so kann die Nutzung der YARA-Signatur eine weitere Prüfungsmaßnahme für Netzwerke darstellen. Das BKA übergibt die YARA-Signatur auch an Hersteller von Antiviren-Programmen.

Bitte prüfen Sie Ihre Systeme und Netzwerke, sollten Sie den Verdacht haben betroffen zu sein.

Wenn Sie von Ihrem Provider über eine Infektion informiert wurden, bitte reagieren Sie.

Die Hauptaufgabe der Malware Emotet war das Nachladen weiterer Schadsoftware, Sie müssen daher davon ausgehen, dass sich neben der Infektion mit Emotet auch weitere Schadsoftwareauf mindestens einem Computersystem in Ihrem lokalen Netzwerk befindet. Sorgen Sie daher unbedingt für eine Desinfektion ihrer Systeme!

Hinweise, wie Sie eine solche Bereinigung durchführen, finden Sie beispielsweise auf der Webseite des BSI.

Schützen Sie sich und damit auch andere!

1 Es ist davon auszugehen, dass diese Zahl einer gewissen Unschärfe unterliegt, da beispielsweise IT-Sicherheitsforscher mittels Analysesystemen fortlaufende Verbindungen als „neue Opfersysteme“ erzeugen und somit auch immer wieder neue „Bots“ zum Sinkhole kommunizieren lassen.
2 Beim Framework namens „YARA“ handelt es sich um ein von der Firma „Virustotal“ entwickeltes quelloffenes Framework zur Mustererkennung.

Technische Indikatoren