Emotet: Mutmaßlicher Admin ist Schlüsselfigur für das BKA

Journalisten von BR und Zeit konnten Kontakt zu einem mutmaßlichen Admin der Schadsoftware Emotet aufnehmen.

Artikel veröffentlicht am ,
Ein mutmaßlicher Emotet-Admin wurde im Januar festgenommen.
Ein mutmaßlicher Emotet-Admin wurde im Januar festgenommen. (Bild: vishnu vijayan/Pixabay)

Am 26. Januar 2021 stürmten Polizisten in der ukrainischen Stadt Charkiw einen Plattenbau. Aus seiner Wohnung heraus soll ein 48-Jähriger die Server der Schadsoftware Emotet gewartet haben, die weltweit für Millionenschäden verantwortlich ist. Der Bayerische Rundfunk (BR) und das Medium Zeit konnten Kontakt zu dem Ukrainer aufnehmen.

Stellenmarkt
  1. Java Backend Engineering (f/m/d)
    Skribble Deutschland GmbH, Karlsruhe, Zürich (Schweiz)
  2. Mitarbeiter (m/w/d) - Planung und Betrieb des Kommunikationsnetzes
    Universität Hamburg, Hamburg
Detailsuche

Über seinen Anwalt bestreitet er die Vorwürfe der Ermittler. "Die haben gesagt, dass von den Servern eine gefährliche Erpressungssoftware gesteuert wird. Das wusste ich einfach nicht." Er habe für ein paar Stammkunden Server gewartet, für 40 bis 80 US-Dollar im Monat pro Maschine, erklärt der Mann, dem die Journalisten in ihrem Artikel den Namen Petro Ponomarenko gegeben haben. Auch Software will er für seine Kunden installiert oder Daten von einem Gerät auf ein anderes übertragen haben.

Seine Wohnung und seine Rechner wirken auf Fotos der Polizei alt und heruntergekommen. Sie passen nicht zu dem Multi-Millionen-Dollar-Geschäft mit der Schadsoftware Emotet. Die Rechner habe er auf dem Flohmarkt gekauft, sagte Ponomarenko den Journalisten von BR und Zeit. Das Geld, das er mit ihnen verdiene, benötige er für die Behandlung seine herzkranken Kindes.

Konto in Forum für Cyberkriminalität

BR und Zeit graben weiter. Sie suchen in den sozialen Medien, finden Fotos von Ponomarenko mit Locken und Sonnenbrille. Er verbrachte viel Zeit in einem russischsprachigen Linux-Forum und erstellte in seiner Freizeit Level für das Computerspiel Doom II. Der studierte Computertechniker bot seine Dienste als Admin in Internetforen an.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Doch auch in einem russischsprachigen Forum für Cyberkriminalität finden die Journalisten ein Konto, das mit einer von Ponomarenkos E-Mail-Adressen registriert wurde. Dort bieten Programmierer und Hacker ihre Dienste für Straftaten feil: Crime-as-a-service.

Ponomarenkos Anwalt spricht von "Seiten für Spezialisten", wo Meinungen ausgetauscht und Kontakte geknüpft würden. Sein Mandant habe keine kriminelle Ausrichtung.

Coup für das BKA

Das BKA möchte sich zu den laufenden Ermittlungen nicht äußern, geht aber davon aus, dass die Kriminellen hinter Emotet Ponomarenko für die Instandhaltung ihres Botnetzes angeworben haben. Seine Anweisungen soll er von einer Person aus Russland entgegengenommen und mutmaßlich direkt mit der Kerngruppe hinter Emotet kommuniziert haben. Damit bleibt allerdings weiter unklar, wer Emotet entwickelt und große Summen damit verdient hat.

"Wir haben es mit absoluten Profis zu tun, die letzten Endes auch durch die Dauer, in der sie dieses Botnetz aufrechterhalten und vor den Strafverfolgungsbehörden zunächst geheim halten konnten, nochmal unterstrichen haben, mit welcher Akribie und Professionalität sie da eigentlich vorgegangen sind", sagte Linda Bertram, Staatsanwältin der Zentralstelle für die Bekämpfung der Internetkriminalität (ZIT), dem BR.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Für das BKA ist die Übernahme der Emotet-Server und die Festnahme von Ponomarenko im Januar ein Coup. Für sie ist er eine Schlüsselfigur, die sie zu den Hintergründen von Emotet befragen können. Entsprechend lange hat allein das erste Verhör gedauert. Fünf Stunden, sagt Ponomarenko. Er sei nach den Servern und wer Zugriff auf diese habe, gefragt worden, wer ihn beauftragt und wer die Steuerungssoftware für das Botnetz programmiert habe.

Zehntausende Emotet-Betroffene allein in Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht allein in Deutschland von mehreren Zehntausenden Emotet-Betroffenen aus. Darunter waren Firmen, aber auch etliche Behörden, wie das Kammergericht in Berlin. BSI-Präsident Arne Schönbohm nannte Emotet im Jahr 2019 gar den "König der Schadsoftware".

Auf den beschlagnahmten Servern fanden sich auch 4,3 Millionen Zugangsdaten zu E-Mail-Konten. Diese gab das FBI an den Dienst Have I Been Pwned (HIBP) weiter. Dort kann überprüft werden, ob man zu den Betroffenen zählt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Radeon RX 6500 XT
Diese Karte hätte es früher(TM) nie gegeben

In Zeiten irrer Grafikkarten-Preise wird ein winziger Laptop- als überteuerter Gaming-Desktop-Chip verkauft. Eine ebenso perfide wie geniale Idee.
Eine Analyse von Marc Sauter

Radeon RX 6500 XT: Diese Karte hätte es früher(TM) nie gegeben
Artikel
  1. Wissenschaft: Wie Malware mit der Antenne erkannt werden kann
    Wissenschaft
    Wie Malware mit der Antenne erkannt werden kann

    IoT-Geräte sind mit steigender Verbreitung ein beliebtes Ziel für Malware. Französische Forschende erkennen sie auf unkonventionelle Weise.
    Von Johannes Hiltscher

  2. Serielle Schnittstellen: Wie funktioniert PCI Express?
    Serielle Schnittstellen
    Wie funktioniert PCI Express?

    Serielle High-Speed-Links erscheinen irgendwie magisch. Wir erklären am Beispiel von PCI Express, welche Techniken sie ermöglichen - und warum.
    Von Johannes Hiltscher

  3. Matrix: Grundschule forkt Messenger
    Matrix
    Grundschule forkt Messenger

    Statt auf Teams oder Google setzt eine Grundschule in NRW beim Homeschooling auf einen selbst angepassten Matrix-Client. Die Mühe lohnt sich.
    Ein Interview von Moritz Tremmel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /