Emotet: Trojaner legt Unternehmen lahm
Eine neue Angriffswelle des ferngesteuerten Emotet Trojaners verursacht derzeit in Deutschland Schäden in noch nicht einzuschätzender Höhe. Meldungen und Berichten folgend, sind bereits Einzelfälle dokumentiert, in denen der Schaden in die Millionen geht.
Der Ägyptische Baumeister der Antike ist in der Neuzeit Namensgeber für den vormaligen Banking-Trojaner, der schon seit 2014 sein Unwesen treibt. Dazu verwendet der Trojaner Funktionen, die der Software helfen, die Erkennung durch zahlreiche Anti-Malware- und Anti-Virus-Produkte zu umgehen.
Führen Sie keine Makros aus!
Der Trojaner nutzt wurmartige Funktionen, um sich auf andere verbundene Computer im Netzwerk auszubreiten und ist darüber hinaus polymorph – d.h. es kann sich bei jedem Download bzw. jeder Ausführung selbst verändern und entzieht sich damit einer signaturbasierten Erkennung.
Ist ein System mit Emotet infiziert, versucht es nicht nur, sich weiter in seinem Netzwerk auszubreiten und Updates/weitere Schadsoftware von C&C (Command and Control) Servern herunterzuladen und zu verbreiten – sondern beginnt darüber hinaus mit dem Sammeln von Daten!
Der Trojaner sammelt gezielt Nutzer- (Logins, Passwörter) und Kommunikationsdetails; wer kommuniziert mit wem – und in den neusten Versionen spioniert die Malware darüber hinaus auch die Inhalte des Mailverkehrs aus.
Aus den so erlangten Informationen, die zu den C&C Servern der Hintermänner übersendet werden, werten diese neue Ziele und Zielpersonen aus, die dann gezielt mit authentisch wirkenden Emails (möglicherweise auch unter Verwendung gefälschter Absender-Informationen und Mail-Header) – zum Teil mit Bezug auf aktuelle Kommunikationsdetails – angeschrieben werden.
Im Anhang dieser Mails finden sich Dateianhänge, die zum vorgetäuschten Kontext des Mail zu passen scheinen, tatsächlich aber nur Emotet enthalten. In der Mehrheit scheint es sich derzeit um Dateien im .DOC Format zu handeln (es wird jedoch auch von vereinzelten .PDF Infektionen berichtet) – die nach dem Öffnen mit der verknüpften Textverarbeitung Makros ausführen wollen.
Damit die Makros ausgeführt werden können, bedarf es üblicherweise der Zustimmung des Nutzers – wie BSI, LKA und der CERT-Bund jedoch übereinstimmend berichten, lassen eine Vielzahl der neu angegriffenen Ziele die Ausführung der Makros bedenkenlos zu.
„Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden.“ so BSI-Präsident Arne Schönbohm über die neuartige Qualität der Angriffe.
Hat Emotet sich auf einem Rechner und dem umgebenden Netzwerk etabliert, versucht er einen zwar alten, aber offensichtlich immer noch wirksamen Exploit auszunutzen, der seinerzeit von von der amerikanischen NSA entwickelt und über Jahre genutzt wurde.
Im Prinzip ist der sicherste Schutz vor Emotet der nach wie vor älteste Abwehrmechanismus in der IT. Führen Sie keine Dateien/Makros unbekannter Herkunft aus. Warum sollte eine Ihnen übersandte Rechnung oder ein Informationsschreiben der Ausführung von Makros bedürfen?
Darüber hinaus sollten natürlich auch Ihre Clients und Server mit den aktuellsten Patches und Updates versehen sein – zusätzliche Anti-Virus- und Anti-Malware-Produkte ergänzen diese Sicherheitsmaßnahmen.
Weiterführende Informationen:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html
https://www.lka.niedersachsen.de/kriminalitaet/deliktsbereiche/internetkriminalitaet/zentrale-ansprechstelle-cybercrime-zac-515.html