Bedrohungslage

Emotet ist zurück: Verstärken Sie jetzt Ihre Abwehr!

19. April 2023 von PSW GROUP Redaktion
emotet-2022
©frank peters - stock.adobe.com

3.7
(9)

Es gibt kaum eine andere Schadsoftware, die derartig raffiniert ihr Unwesen treibt wie Emotet. Nachdem 2021 die Zerschlagung der Infrastruktur von Emotet durch Behörden gelungen war, war es lange Zeit ruhig um die Schadsoftware. Doch in den letzten beiden Jahren nahmen die Aktivitäten mit dem Schädling wieder zu. In unserem Beitrag stellen wir Ihnen verschiedene Szenarien kurz vor und geben Ihnen Tipps, wie Sie Ihre Abwehr gegen Emotet effizient verstärken können.

 

Trojaner Emotet: Die trickreiche und gefährliche Schadsoftware „Emotet“ ist zurück

Im Jahr 2014 startete Emotet seine offenbar unaufhaltsame Karriere als Schadsoftware; ab 2018 etwa folgten beispiellose Angriffswellen – wir berichteten davon in unserem Beitrag „Spear Phishing mit Emotet“. Niemand konnte den „König der Schadsoftware“ stoppen – bis es Ermittelnden im Jahr 2021 gelungen war, die IT-Infrastruktur von Emotet zu zerschlagen. In unserem Beitrag „Emotet zerschlagen: König der Schadsoftware entthront“ berichteten wir im Februar 2021 von der gelungenen Aktion. In unserem Fazit dieses Beitrags mutmaßten wir bereits: „Es gilt, wachsam zu bleiben, denn die Cyberkriminellen kehren entweder selbst zurück oder finden zügig Nachahmer“. Und so kam es dann auch: Seit November 2021 werden wieder verstärkte Emotet-Aktivitäten festgestellt. Die Schadsoftware Trickbot ist ein alter Kollege des berüchtigten Emotet-Botnetzes: In der Vergangenheit wurde das Schadprogramm Trickbot nachgeladen, wenn es Emotet einmal aufs System geschafft hatte.

Nun ist esSicherheitsforschenden von Check Point Research (CPR) zufolge andersherum:
Trickbot verbreitet neue Emotet-Varianten. Die CPR-Schätzungen gehen von rund 140.000 Trickbot-Emotet-Opfern in 149 Ländern aus – nur innerhalb der 10 Monate zwischen der vermeintlichen Zerschlagung der Emotet-Infrastruktur und dem Wiederaufleben gezählt. Als Head of Threat Intelligence bei CPR warnt Lotem Finkelsteen: „Emotet war das stärkste Bot-Netz in der Geschichte der Cyber-Kriminalität. Indessen hat es sein starkes Fundament an andere Hacker verkauft, um die Malware schnell zu verbreiten, zumeist an Ransomware-Banden. Das Comeback von Emotet ist ein Warnzeichen bezüglich eines weiteren Anstiegs der Ransomware-Angriffe im Jahr 2022, unser bester Indikator. Die Trickbot-Malware, welche stets mit Emotet zusammengearbeitet hat, erleichtert die Wiederkunft des Bot-Netzes, weil es diesem bei der Verbreitung hilft. So startet Emotet von einer sehr soliden Position, statt bei null. In nur zwei Wochen wurde Emotet damit zur siebt beliebtesten Malware weltweit, wie in unserer globalen Liste der Top-Malware zu sehen ist. Wir sollten außerdem mit Emotet- und Trickbot-Infektionen so umgehen, als handele es sich um Ransomware selbst, denn andernfalls ist es nur eine Frage der Zeit, bis es zu einem echten Ransomware-Angriff kommt.“

 

Gefahr durch bösartige E-Mail Anhänge wie Dokumente, Excel-Tabellen und ZIP-Dateien

Auch Forschende von Cryptolaemus (Twitter: @Cryptolaemus1) mahnen zur Vorsicht: Man habe ein extremes Spam-Aufkommen aus neuen Emotet-Botnetzen beobachtet. Dabei werde mit schon bekannten Social Engineering-Tricks gearbeitet, heißt es. Ein Teil der Spam-E-Mail schaut aus wie eine scheinbare Antwort von bekannten Absendenden. In der E-Mail werden die Opfer gebeten, den Office-Anhang zu öffnen. Laut Cryptolaemus sind die Spam-Mails in verschiedenen Sprachen verfasst. Neben direkt angehängten Excel-Tabellen könnten Anhänge auch aus passwortgeschützten ZIP-Archiven bestehen – offenbar der Versuch, die Mails an dem Spamfilter vorbeizuschummeln.

Öffnen Nutzende die Excel-Datei, erscheint die Aufforderung „Inhalt aktivieren“, sodass Makros ausgeführt werden können. Mit dem Gestatten von Makros wird Schadcode aus dem Internet nachgeladen; das System wird infiziert. IP-Adressen sind, so die Forschenden, mit oktaler, nicht dezimaler Notation angegeben, um sie vor Antivirensoftware verschleiern zu können.

Emotet-Kampagne mit neuen Funktionen

Die Sicherheitsforschenden von Zscaler beobachteten die Verteilung von Emotet über Spam-Kampagnen per E-Mail. Wie die Analysen zeigen, ähnelt die aktuelle Emotet-Version früheren Varianten in einigen Aspekten, jedoch gibt es auch Änderungen wie bei der genutzten Verschlüsselung und den Command & Control-(C&C)-Daten. Für die C&C-Kommunikation scheint die Schadsoftware HTTPS anstelle von HTTP zu nutzen, sodass Emotet einer frühen Erkennung entgehen kann. Neu scheint außerdem zu sein, dass Emotet zum Verschlüsseln des Netzwerkverkehrs nun auf elliptische Kurven (Elliptic Curve Cryptography; ECC) anstelle von RSA setzt.

Black Lotus Labs fand zudem heraus, dass es den Cyberkriminellen hinter Emotet möglich ist, über die Liste laufender Prozesse auf kompromittierten Systemen zusätzliche Systeminformationen zu sammeln. Die Botnet-Infrastruktur umfasst den Erkenntnissen dieser Sicherheitsforschenden zufolge knapp 200 C&C-Server; die meisten Domänen befinden sich in den USA, in Deutschland, Frankreich, Thailand, Brasilien, Indonesien, Singapur, Kanada, Großbritannien sowie Indien.

Emotet führt in Top-Malware-Listen

Die Beobachtungen verschiedener Sicherheitsforscher zeigen: Seine alte Vormachtstellung hat Emotet noch nicht wieder inne, jedoch ist das Botnetz auf dem besten Weg dahin, diese wieder einzunehmen. So wundert es kaum, dass die Schadsoftware die eine oder andere Malware-Liste anführt oder zumindest weit oben mitspielt: Beispielsweise zeigt die Liste „Top Malware März 2022“ für die Schweiz von Check Point Software deutlich, dass Emotet mit Abstand Platz 1 der Top-Schadprogramme in der Schweiz belegt. Dieser Trend sei auch weltweit zu beobachten: Zehn Prozent aller Unternehmen weltweit seien befallen – doppelt so viele bereits, wie noch im Februar 2022.

Ransomware „Emotet“ kehrt als OneNote-E-Mail-Anhang zurück

Anfang 2023 kommt die gefährliche Ransomware „Emotet“ als OneNote-E-Mail-Anhang getarnt zurück. Diese neue Variante macht es noch schwieriger für Nutzende, die Gefahr zu erkennen und zu vermeiden. Wenn ein Nutzender auf den OneNote-E-M-Mail-Anhang klickt, wird die Schadsoftware heruntergeladen und die gesamte Festplatte des Computers verschlüsselt. Somit haben Angreifende leichtes Spiel und können ein Lösegeld einfordern, um den Zugriff auf die Dateien wiederherzustellen (oder auch nicht). Es ist daher umso wichtiger, dass OneNote-Nutzende ein hohes Maß an Vorsicht walten lassen und sich vor potenziell verdächtigen E-Mails und Anhängen hüten. Zur Not kontaktieren Sie die genannte Person übers Telefon, ob es deren E-Mail und Anhang ist.

Die neue Variante von Emotet ist sehr geschickt in ihrer Tarnung als OneNote-E-Mail-Anhang. Dabei wird den Opfern vorgegaukelt, dass das Dokument geschützt sei und sie auf die Schaltfläche „View“ klicken müssen, um es anzusehen. Tatsächlich verbirgt sich dahinter ein eingebettetes Skript, das den Angriff auf den Computer auslöst. Das bedeutet, dass die Ransomware nicht nur eine Bedrohung für Unternehmen und Privatnutzer darstellt, sondern auch ein Beispiel dafür ist, wie geschickt Social Engineering eingesetzt werden kann, um Nutzende zum Herunterladen der Schadsoftware zu verleiten.

Microsoft selbst hat bereits die „OneNote“ Sicherheitslücke oder auch Schwachstelle, durch die die Malware sich leichter als etwa mit dem Office-Makro einschleusen lässt, erkannt und identifiziert. Es wird bereits an einer Lösung gearbeitet, um das Problem zu beheben und allgemein besseren Schutz vor Phishing Angriffen zu gewährleisten.

 

So können Sie sich vor Emotet schützen!

Emotet ist also zurück – und Sie sollten vorbereitet sein. Denn Prävention ist die beste Verteidigung, so sagt man umgangssprachlich. Dazu gehört es, ein Wissen über Cyberbedrohungen wie Emotet zu schaffen – durch Sensibilisierungsmaßnahmen für die eigenen Mitarbeitenden und sich selbst. In diesen Awareness-Schulungen erfahren Ihre Mitarbeitenden und Sie, welche Bedrohungen im World Wide Web existieren, sodass Sie diese vorbeugen, aber auch im Fall der Fälle reagieren können.

Ebenfalls sind weitere Maßnahmen empfohlen:

  • Sicherheitsupdates aktivieren und umsetzen: Spielen Sie Patches möglichst zeitnah nach der Veröffentlichung ein, um etwaige Sicherheitslücken zu schließen. Was Schwachstellen anrichten können und welche aktuell Beachtung brauchen, erfahren Sie in unserem Beitrag „Sicherheitslücken gefährden Ihre Sicherheit – jetzt patchen!“. Es gibt mittlerweile sogar Hilfsprogramme, die Ihnen helfen, up-to-date zu sein; egal ob auf Ihrem Server/Shop oder auf Ihrem Computer.
  • Antivirensoftware-Software regelmäßig nutzen: Nutzen Sie Antivirensoftware – und patchen Sie auch diese regelmäßig! Informieren Sie sich über zusätzliche Funktionen, wie Ransomware-Schutz oder Firewall.
  • Einrichtung von regelmäßigen Backups: Werden durch einen Angriff von Ransomware Ihre Daten verschlüsseln, werden Sie um jede verfügbare Datensicherung dankbar sein, die Sie in regelmäßigen Intervallen angelegt haben und nun – nach dem Reinigen der Systeme – das Backup einfach einspielen zu können. Doch Vorsicht: Neben der Regelmäßigkeit von Backups ist es genauso wichtig, diese getrennt von der sonstigen IT-Infrastruktur Ihrer Organisation aufzubewahren – andernfalls könnte die Ransomware auch Ihre Backups mit verschlüsseln. Wichtig ist hier, planen Sie auch den Wiederanlauf und die Rückspieglung Ihrer Daten.
  • Monitoring & Reporting: Behalten Sie den Überblick über Ihre IT-Infrastruktur durch Ihr Monitoring, umgangssprachlich auch die Überwachung den eigenen Systemen. Beim Monitoring können Sie sich mittlerweile durch die künstliche Intelligenz unterstützen lassen – beispielsweise mit den XDR-Lösungen, die nicht nur an Endpunkten ansetzen, sondern mit denen Sie Ihre komplette IT-Infrastruktur im Blick behalten können.
  • Einrichtung von Netzwerk-Segmentierung: Trennen Sie Ihre Client-, Server-, Domain-Controller-Netze, sowie die Produktionsnetze und administrieren Sie diese Segmente isoliert. Sie können nach Anwendungsbereichen, Vertrauenszonen und/ oder Regionen segmentieren. Durch die Segmentierung gibt es nicht nur ein Firmennetzwerk, sondern mehrere unabhängige, die durch kontrollierte Schnittstellen, ein Maß an zusätzlicher Sicherheit schaffen.
  • Verwaltung von Berechtigungen: Ein ausführliches und feingranular ausgearbeitetes Berechtigungskonzept verhindert unbefugte Zugriffe sehr effizient. Anfangs mag das nach viel Arbeit aussehen, die sich jedoch im späteren Verlauf lohnt, da Anpassungen bei Bedarf schnell realisiert sind. Die goldene Regel lautet: Geben Sie ausschließlich Berechtigungen, die notwendig sind. Ideen diesbezüglich erhalten Sie in unserem Beitrag „Identity and Access Management: Zugriffsrechte zentral verwalten“.
  • Zugänge sichern: Sichern Sie externe Zugriffe aufs Unternehmensnetzwerk – etwa durch Home-Office-Mitarbeitende – durch ein VPN ab. Auch die Zugänge müssen abgesichert werden, etwa durch Multi-Faktor-Authentifizierung. Der Vorteil daran: Selbst wenn Kriminelle an Ihre Zugangsdaten kommen, fehlen ihnen weitere Faktoren, die zum Login notwendig sind.

Weitere optionale Maßnahmen gegen Emotet?

Es ist nicht verwunderlich, dass sich Cyberkriminelle neue Wege und Bahnen erarbeiten, um wieder präsent und möglichst viel Schaden zu verursachen. So wie das Voranschreiten der Zeit die Sicherheitsaspekte verbessert, entwickeln sich auch die Bedrohung und die Cyberkriminalität immer weiter. Dahingehend bleibt es nicht aus, dass Emotet präsent ist und auch bleibt. Neben den oben aufgeführten Maßnahmen gibt es auch eine Reihe an optionalen Maßnahmen, die Sie durchführen können, um die Sicherheit Ihrer Daten und des Systems zu erhöhen und Sie somit weniger anfällig sind gegen einen Emotet Angriff. Eine Liste der optionalen Sicherheitsmaßnahmen finden Sie in unserem Blogbeitrag „Emotet erkennen: Maßnahmen gegen Trojaner„.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 3.7 / 5. Vote count: 9

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu