Oh, doch!

„Die Log-Dateien dokumentieren zwar übermäßig viele fehlgeschlagene Anmeldeversuche durch eine Brute-Force-Attacke auf das Passwort. Angesichts dessen Stärke erscheint es jedoch wahrscheinlicher, dass Emotet die Domain-Admin-Credentials etwa aus dem RAM eines infizierten Systems abgezogen hat. Unter anderem ist nicht auszuschließen, dass sich jemand zur Reinigung eines infizierten Systems als Domain Admin angemeldet hat. Das wäre einer der Kardinalfehler, die man unbedingt vermeiden sollte.“
----------
Christian, MacFix