Wie es ihren Opfern ergeht, bekommt eine Gruppe von Cyberkriminellen aktuell selbst zu spüren: Eine Hackergruppe hat zahlreiche Emotet-Server übernommen und die gefährliche Schadsoftware durch GIFs ersetzt.

Emotet hat als eines der gefährlichsten Schadprogramme schon unzählige Unternehmen, Krankenhäuser und Co. lahmgelegt sowie hohe Erpressungsgelder gefordert. Nach einer fünfmonatigen Pause zu Beginn dieses Jahres, haben Forscher erst kürzlich eine neue Angriffswelle beobachtet. Die Ziele lagen vor allem in den USA sowie im Vereinigten Königreich. Doch seit dem 21. Juli übernimmt eine Hackergruppe schrittweise immer mehr Server, die die Schadsoftware Emotet verbreiten. Die Schaddokumente werden schlicht durch animierte GIF-Dateien, beispielsweise durch das Hackerman-GIF, ersetzt.

Verbreitet wird Emotet sowohl über schädliche E-Mail-Anhänge als auch über verlinkte Dateien, die meist auf gehackten Servern oder WordPress-Seiten abgelegt werden. Verwaltet werden diese in der Regel über sogenannte Webshells, deren Zugang durch ein Passwort geschützt wird. Offensichtlich ist eine Hackergruppe an eben jene Passwörter gelangt. Laut Medienberichten ist sich das Emotet-Team dessen auch bewusst, denn beim Versuch die Eindringlinge aus den Webshells zu vertreiben, sei das Emotet-Botnetzwerk am 23. Juli ausgefallen. Erfolgreich verdrängt wurden sie aber nicht. Angriffe mit Emotet haben sich dank der Hacks aber maßgeblich reduziert. Expertenangaben zu Folge nutzt das Emotet-Team derzeit nur rund ein Viertel der sonst üblichen Kapazitäten.

Wer hinter dieser Attacke auf die Emotet-Hackergruppe steckt ist noch unklar, vermutet wird entweder eine konkurrierende Malware-Gang oder eine Person aus der Sicherheitscommunity.