FBI übergibt 4,3 Millionen E-Mail-Adressen des Emotet-Botnets an Have I Been Pwned
Der Breach Notification Service stuft die Daten als besonders heikel ein. Es sind auch Anmeldedaten enthalten. Emotet missbraucht die Daten vor allem für den Versand von Spam.
Die US-Bundespolizei gibt Nutzern die Möglichkeit zu prüfen, ob ihre E-Mail-Adressen vom Emotet-Botnet missbraucht wurden. Insgesamt 4,3 Millionen E-Mail-Adressen fielen den Ermittlern nach eigenen Angaben während der Ermittlungen gegen die Hintermänner von Emotet in die Hände. Nun wurden sie dem Breach Notification Service Have I Been Pwned des australischen Sicherheitsforscher Troy Hunt übergeben.
Im Januar war es Ermittler in den USA, Kanada und Europa gelungen, die Kontrolle über die Befehlsserver von Emotet zu übernehmen. Dort fand das FBI die fraglichen E-Mail-Adressen. Emotet wurde zur Verbreitung von Ransomware und Banking-Trojanern benutzt – per Phishing oder über mit Schadsoftware verseuchte Spam-E-Mails.
In einem Blogeintrag schreibt Hunt nun, dass er vom FBI nicht nur E-Mail-Adressen, sondern auch zugehörige Anmeldedaten erhalten habe, um Spam über die E-Mail-Provider der Opfer zu verschicken. Weitere Anmeldedaten soll Emotet aus Browsern ausgelesen haben.
Have I Been Pwned behandelt die übermittelten E-Mail-Adressen nach eigenen Angaben so, als stammten sie aus einem isolierten Sicherheitsvorfall, auch wenn es sich nicht um einen der typischen Datenverluste handele, die der Dienst in der Regel erfasse. Insgesamt enthält die Datenbank der Website inzwischen 11 Milliarden gehackte Konten. Darunter sind unter anderem Angriffe auf MySpace oder LinkedIn sowie Listen mit Anmeldedaten, die Hacker im Rahmen des Credential Stuffing zusammenstellen, um beispielsweise Konten mit schwachen Passwörtern oder wiederverwendeten Kennwörtern zu übernehmen.
Allerdings sind die Emotet-E-Mail-Adressen nicht öffentlich durchsuchbar. Hunt stuft den Vorfall als besonders heikel ein. Als Folge müssen Nutzer entweder über den Benachrichtigungsservice der Website nachweisen, dass es sich um ihre Adresse handelt, oder eine Domänensuche durchführen, um herauszufinden, ob sie betroffen sind.
“Ich habe diesen Ansatz gewählt, um zu vermeiden, dass jemand aufgrund seiner Zugehörigkeit zum Emotet-Botnet zur Zielscheibe wird”, sagte Hunt. “Alle betroffenen HIBP-Abonnenten haben bereits Benachrichtigungen erhalten.”
Betroffenen rät Hunt grundsätzlich, eine aktuelle Sicherheitssoftware einzusetzen und die Kennwörter von gehackten Konten sowie etwaige Sicherheitsfragen zu ändern. Dasselbe gelte für alle Konten, deren Daten möglicherweise im Posteingang eines betroffenen E-Mail-Kontos gespeichert waren.