Bedrohungslage

Emotet ist zurück: Verstärken Sie jetzt Ihre Abwehr!

26. April 2022 von Bianca Wellbrock
emotet-2022
©frank peters - stock.adobe.com

4.2
(5)

Es gibt kaum eine andere Schadsoftware, die derartig raffiniert ihr Unwesen treibt wie Emotet. Nachdem 2021 die Zerschlagung der Infrastruktur von Emotet durch Behörden gelang, war es lange Zeit ruhig um die Schadsoftware. Doch seit November 2021 nehmen Aktivitäten mit dem Schädling wieder zu – deshalb lesen Sie heute neben aktuellen Meldungen rund um Emotet über die aktuelle Kampagne. Zum Schluss geben wir Ihnen Tipps, wie Sie Ihre Abwehr gegen Schädlinge wie Emotet effizient verstärken können.

Emotet ist zurück

Im Jahr 2014 startete Emotet seine offenbar unaufhaltsame Karriere als Schadsoftware; ab 2018 etwa folgten beispiellose Angriffswellen – wir berichteten davon in unserem Beitrag „Spear Phishing mit Emotet“. Niemand konnte den „König der Schadsoftware“ stoppen – bis es Ermittelnden im Jahr 2021 gelungen war, die IT-Infrastruktur von Emotet zu zerschlagen. In unserem Beitrag „Emotet zerschlagen: König der Schadsoftware entthront“ berichteten wir im Februar 2021 von der gelungenen Aktion. In unserem Fazit dieses Beitrags mutmaßten wir bereits: „Es gilt, wachsam zu bleiben, denn die Cyberkriminellen kehren entweder selbst zurück oder finden zügig Nachahmer“. Und so kam es dann auch:

Seit November 2021 werden wieder verstärkte Emotet-Aktivitäten festgestellt. Die Schadsoftware Trickbot ist ein alter Kollege des berüchtigten Emotet-Botnetzes: In der Vergangenheit wurde das Schadprogramm Trickbot nachgeladen, wenn es Emotet einmal aufs System geschafft hatte. Nun ist es Sicherheitsforschenden von Check Point Research (CPR) zufolge andersherum: Trickbot verbreitet neue Emotet-Varianten. Die CPR-Schätzungen gehen von rund 140.000 Trickbot-Emotet-Opfern in 149 Ländern aus – nur innerhalb der 10 Monate zwischen der vermeintlichen Zerschlagung der Emotet-Infrastruktur und dem Wiederaufleben gezählt.

Als Head of Threat Intelligence bei CPR warnt Lotem Finkelsteen: „Emotet war das stärkste Bot-Netz in der Geschichte der Cyber-Kriminalität. Nun hat es sein starkes Fundament an andere Hacker verkauft, um die Malware schnell zu verbreiten, zumeist an Ransomware-Banden. Das Comeback von Emotet ist ein Warnzeichen bezüglich eines weiteren Anstiegs der Ransomware-Angriffe im Jahr 2022, unser bester Indikator. Die Trickbot-Malware, welche stets mit Emotet zusammengearbeitet hat, erleichtert die Wiederkunft des Bot-Netzes, weil es diesem bei der Verbreitung hilft. So startet Emotet von einer sehr soliden Position, statt bei null. In nur zwei Wochen wurde Emotet damit zur siebtbeliebtesten Malware weltweit, wie in unserer globalen Liste der Top Malware zu sehen ist. Wir sollten außerdem mit Emotet- und Trickbot-Infektionen so umgehen, als handele es sich um Ransomware selbst, denn andernfalls ist es nur eine Frage der Zeit, bis es zu einem echten Ransomware-Angriff kommt.“

Cryptolaemus warnt vor Emotet

Auch Forschende von Cryptolaemus mahnen zur Vorsicht: Man habe ein extremes Spam-Aufkommen aus neuen Emotet-Botnetzen beobachtet. Dabei werde mit schon bekannten Social Engineering-Tricks gearbeitet, heißt es. Ein Teil der Spam-E-Mail schaut aus wie eine scheinbare Antwort von bekannten Absendenden. In der E-Mail werden die Opfer gebeten, den Office-Anhang zu öffnen. Laut Cryptolaemus sind die Spam-Mails in verschiedenen Sprachen verfasst. Neben direkt angehängten Excel-Tabellen könnten Anhänge auch aus passwortgeschützten ZIP-Archiven bestehen – offenbar der Versuch, die Mails an dem Spam-Filter vorbei zu schummeln.

Öffnen Nutzende die Excel-Datei, erscheint die Aufforderung „Inhalt aktivieren“, sodass Makros ausgeführt werden können. Mit dem Gestatten von Makros wird Schadcode aus dem Internet nachgeladen; das System wird infiziert. IP-Adressen sind, so die Forschenden, mit oktaler, nicht dezimaler Notation angegeben, um sie vor Antivirensoftware verschleiern zu können.

Aktuelle Emotet-Kampagne mit neuen Funktionen

Die Sicherheitsforschenden von Zscaler beobachteten die Verteilung von Emotet über Spam-Kampagnen per E-Mail. Wie ihre Analysen zeigen, ähnelt die aktuelle Emotet-Version früheren Varianten in einigen Aspekten, jedoch gibt es auch Änderungen wie bei der genutzten Verschlüsselung und den Command & Control-(C&C)-Daten. Für die C&C-Kommunikation scheint die Schadsoftware HTTPS anstelle von HTTP zu nutzen, sodass Emotet einer frühen Erkennung entgehen kann. Neu scheint außerdem zu sein, dass Emotet zum Verschlüsseln des Netzwerkverkehrs nun auf elliptische Kurven (Elliptic Curve Cryptography; ECC) anstelle von RSA setzt.

Black Lotus Labs fand zudem heraus, dass es den Cyberkriminellen hinter Emotet möglich ist, über die Liste laufender Prozesse auf kompromittierten Systemen zusätzliche Systeminformationen zu sammeln. Die Botnet-Infrastruktur umfasst den Erkenntnissen dieser Sicherheitsforschenden zufolge knapp 200 C&C-Server; die meisten Domänen befinden sich in den USA, in Deutschland, Frankreich, Thailand, Brasilien, Indonesien, Singapur, Kanada, Großbritannien sowie Indien.

Emotet führt in Top-Malware-Listen

Die Beobachtungen verschiedener Sicherheitsforscher zeigen: Seine alte Vormachtstellung hat Emotet noch nicht wieder inne, jedoch ist das Botnetz auf dem besten Weg dahin, diese wieder einzunehmen. So wundert es kaum, dass die Schadsoftware die eine oder andere Malware-Liste anführt oder zumindest weit oben mitspielt:

Beispielsweise zeigt die Liste „Top Malware März 2022“ für die Schweiz von Check Point Software deutlich, dass Emotet mit Abstand Platz 1 belegt. Dieser Trend sei auch weltweit zu beobachten: 10 Prozent aller Unternehmen weltweit seien befallen – doppelt so viele bereits, wie noch im Februar 2022.

Emotet: So schützen Sie sich

Emotet ist also zurück – und Sie sollten vorbereitet sein. Dazu gehört es insbesondere, ein Wissen über Cyberbedrohungen wie Emotet zu schaffen – durch Sensibilisierung. In Awareness-Schulungen erfahren Ihre Mitarbeitenden, welche Bedrohungen existieren, sodass sie vorbeugen, aber auch im Fall der Fälle reagieren können. Weitere Maßnahmen sind ebenfalls empfohlen:

  • Sicherheitsupdates: Spielen Sie Patches möglichst zeitnah ein, um etwaige Sicherheitslücken zu schließen. Was Schwachstellen anrichten können und welche aktuell Beachtung brauchen, erfahren Sie in unserem Beitrag „Sicherheitslücken gefährden Ihre Sicherheit – jetzt patchen!“.
  • AV-Software: Nutzen Sie Antiviren-Software – und patchen Sie auch diese regelmäßig! Informieren Sie sich über zusätzliche Funktionen wie Ransomware-Schutz oder Firewall.
  • Backups: Sollte Ransomware Ihre Daten verschlüsseln, werden Sie um Datensicherungen dankbar sein, die Sie in regelmäßigen Intervallen angelegt haben und nun – nach dem Reinigen der Systeme – einfach einspielen können. Doch Vorsicht: Neben der Regelmäßigkeit von Backups ist es genauso wichtig, diese getrennt von der sonstigen IT-Infrastruktur Ihrer Organisation aufzubewahren – andernfalls könnte die Ransomware auch Ihre Backups mitverschlüsseln. Wichtig: Planen Sie auch den Wiederanlauf und die Rückspielung Ihrer Daten.
  • Monitoring: Behalten Sie den Überblick über Ihre IT-Infrastruktur durch Monitoring. Beim Monitoring können Sie sich durch Künstliche Intelligenz unterstützen lassen – beispielsweise mit XDR-Lösungen, die nicht nur an Endpunkten ansetzen, sondern mit denen Sie Ihre komplette IT-Infrastruktur im Blick behalten können.
  • Netzwerk-Segmentierung: Trennen Sie Ihre Client-, Server-, Domain-Controller-Netze sowie die Produktionsnetze und administrieren Sie diese Segmente isoliert. Sie können nach Anwendungsbereichen, Vertrauenszonen und/ oder Regionen segmentieren.
  • Berechtigungen: Ein ausführliches und feingranular ausgearbeitetes Berechtigungskonzept verhindert unbefugte Zugriffe sehr effizient. Anfangs mag das nach viel Arbeit aussehen, die sich jedoch im späteren Verlauf lohnt, da Anpassungen bei Bedarf schnell realisiert sind. Die goldene Regel lautet: Geben Sie ausschließlich Berechtigungen, die notwendig sind. Ideen diesbezüglich erhalten Sie in unserem Beitrag „Identity and Access Management: Zugriffsrechte zentral verwalten“.
  • Zugänge sichern: Sichern Sie externe Zugriffe aufs Unternehmensnetzwerk – etwa durch Home-Office-Mitarbeitende – durch ein VPN ab. Auch die Zugänge müssen abgesichert werden, etwa durch Multi-Faktor-Authentifizierung. Der Vorteil daran: Selbst wenn Kriminelle an Ihre Zugangsdaten kommen, fehlen ihnen weitere Faktoren, die zum Login notwendig sind.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 4.2 / 5. Vote count: 5

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu

Loader Loader