{
	"id": "66187fd9-f467-4376-bae5-094e6c35ac55",
	"created_at": "2026-04-06T01:30:05.761054Z",
	"updated_at": "2026-04-10T13:11:26.456013Z",
	"deleted_at": null,
	"sha1_hash": "130ef3553f5130c37a9bf59bb98de4e630329b88",
	"title": "Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 39979,
	"plain_text": "Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail\r\nBy Thomas Hungenberg\r\nPublished: 2019-11-06 · Archived: 2026-04-06 00:32:02 UTC\r\nEmotet hat in den vergangenen Monaten für viele Schlagzeilen gesorgt. Infektionen mit Emotet und insbesondere\r\ndarüber nachgeladene weitere Schadprogramme wie Trickbot oder die im Anschluss in den Netzwerken der Opfer\r\nausgerollte Ransomware Ryuk führten bereits weltweit und auch in Deutschland zu enormen finanziellen\r\nSchäden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte mehrfach vor Emotet; das US-CERT bezeichntete Emotet als eines der \"kostenträchtigsten und zerstörerischsten\" Schadprogramme.\r\nThomas Hungenberg studierte Angewandte Informatik und Kommunikationstechnik und verfügt über mehr als 20\r\nJahre Berufserfahrung im Bereich IT-Sicherheit. Seit 2003 ist er als Incident Handler und Security Analyst im\r\nReferat CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) tätig und arbeitet mit\r\nAnalysten weltweit bei der Analyse von Schadprogrammen und Botnetzen zusammen.\r\nIn einer Vielzahl von Unternehmen, Krankenhäusern, Einrichtungen der kommunalen Verwaltungen und anderen\r\nOrganisationen kam es zu großflächigen oder kompletten Ausfällen der IT-Infrastruktur. Dies hatte vieltägige\r\nProduktionsausfälle zur Folge, Dienstleistungen konnten über einen längeren Zeitraum nicht erbracht werden und\r\nMitarbeiter mussten in den Zwangsurlaub geschickt werden. Nicht berichtet wird üblicherweise über die Schäden\r\nbei tausenden ebenfalls von Emotet betroffenen Privatnutzern durch den Missbrauch ausgespähter Zugangsdaten\r\noder Online-Banking-Betrug.\r\nWie alles begann\r\nEmotet basiert auf einer Weiterentwicklung des Online-Banking-Trojaners Cridex (auch Bugat oder Feodo\r\ngenannt). Der Name Emotet wurde von dem IT-Sicherheitsdienstleister Trend Micro geprägt, der im Juni 2014 als\r\nErster dazu berichtete. Verbreitet wurde die erste Version von Emotet – auch als Geodo bezeichnet – über Spam-Kampagnen mit gefälschten Rechnungen oder angeblichen Mitteilungen von Banken. Die Spam-Mails enthielten\r\ndabei das Schadprogramm entweder direkt im Dateianhang (teilweise in ein ZIP-Archiv verpackt) oder die Spam-Mails enthielten einen Link, über den der Empfänger die angebliche Rechnung bzw. Mitteilung herunterladen\r\nsollte. Durch doppelte Dateiendungen wie \".pdf.exe\" wurde verschleiert, dass es sich bei dem Anhang\r\nbeziehungsweise der heruntergeladenen Datei um ein ausführbares Programm handelte.\r\nGeodo führte sogenannte \"Man-in-the-Browser\"-Angriffe auf das Online-Banking der Opfer durch, indem es sich\r\nin den Webbrowser einklinkte und vom Nutzer eingegebene Anmeldedaten ausspähte. Dabei standen Kunden\r\ndeutscher und österreichischer Banken im Fokus der Angreifer, die deshalb ihre Spam-Mails primär an E-Mail-Adressen mit den Endungen .de und .at versendeten. Zusätzlich spähte Geodo auf den Opfersystemen\r\nZugangsdaten für E-Mail-Konten aus, um über diese anschließend weitere Spam-Mails zur Verbreitung des\r\nSchadprogramms zu versenden. Dabei verwendete es – wie auch heutige Emotet-Versionen noch – eine\r\nmitgelieferte Kopie des Passwort-Recovery-Tools Mail PassView des Herstellers NirSoft, um in E-Mail-https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html\r\nPage 1 of 2\n\nProgrammen wie Microsoft Outlook, Windows Mail oder Mozilla Thunderbird gespeicherte Zugangsdaten zu\r\nextrahieren.\r\nDie weitere Entwicklung\r\nDie zweite Generation von Emotet – welche von den Tätern ab Herbst 2014 in Umlauf gebracht wurde – hatte\r\neinen neuen, modularen Aufbau. Eine Infektion installierte zunächst nur eine Kernkomponente des\r\nSchadprogramms, welche dann Module für verschiedene Schadfunktionen nachladen konnte. Dies umfasste\r\nModule für Angriffe auf das Online-Banking, das Ausspähen von Zugangsdaten aus E-Mail-Clients und\r\nWebbrowsern, das Auslesen von Outlook-Adressbüchern, den Spam-Versand und zur Durchführung von DDoS-Angriffen. Das Banking-Modul nutzte jetzt (wie bereits einige andere Banking-Trojaner-Familien) sogenannte\r\nWeb-Injects. Diese fügten während des Online-Bankings im Webbrowser des Nutzers unter anderem dynamisch\r\nzusätzliche Eingabefelder zur Abfrage von TANs ein, um damit im Hintergrund Überweisungen auszuführen.\r\nAußerdem unterdrückten sie Sicherheitswarnungen der Bank.\r\nMit der dritten Version von Emotet – welche ab Januar 2015 verbreitet wurde – gerieten auch Kunden Schweizer\r\nBanken in den Fokus der Täter, die deshalb ihre Spam-Kampagnen auf Schweizer Nutzer ausweiteten. Zusätzlich\r\nwurden die Schutzfunktionen des Schadprogramms gegen Detektion und Analyse verbessert.\r\nSource: https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html\r\nhttps://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.heise.de/security/artikel/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html"
	],
	"report_names": [
		"Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775439005,
	"ts_updated_at": 1775826686,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/130ef3553f5130c37a9bf59bb98de4e630329b88.pdf",
		"text": "https://archive.orkl.eu/130ef3553f5130c37a9bf59bb98de4e630329b88.txt",
		"img": "https://archive.orkl.eu/130ef3553f5130c37a9bf59bb98de4e630329b88.jpg"
	}
}