Verschlüsselung

Spear Phishing mit Emotet

18. Dezember 2018 von Bianca Wellbrock

emotet_spear_phishing
© psdesign1 - Fotolia.com

Emotet ist ein Trojaner, der mit ausgesprochen realistisch wirkenden Phishing-Mails ins Haus flattert. Da die Phishing-Mails kaum von echten E-Mails unterschieden werden können und Emotet hierzulande derzeit ganze Firmen lahmlegt, warnen CERT-Bund, BSI und die Cybercrime-Spezialisten des LKAs deutlich. Emotet hat in Einzelfällen bereits für Schäden in Millionenhöhe gesorgt.

Was Emotet so gefährlich macht

Wie Emotet verbreitet wird, ist das Perfide an der Sache: Scheinbar stammen die E-Mails mit dem Trojaner im Anhang von Bekannten, Kollegen oder Geschäftspartnern. Emotet liest Kontakte sowie Inhalte aus den Postfächern bereits infizierter Systeme aus. Der Trojaner ist nicht neu, jedoch wird er nun für Spear Phishing-Angriffe genutzt. BSI-Präsident Arne Schönbohm warnt:

„Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden. Schon im aktuellen Lagebericht des BSI haben wir von einer neuen Qualität der Gefährdung gesprochen und sehen uns durch Emotet darin bestätigt. Wir fordern deswegen Unternehmen und Organisationen auf, ihre IT-Infrastruktur und insbesondere ihre kritischen Geschäftsprozesse vor dieser Art der Bedrohung zu schützen und ihre IT-Sicherheitsmaßnahmen angemessen auszubauen.“

Wie Spear Phishing mit Emotet abläuft

Die Angreifer achten beim Spear Phishing darauf, der Zielperson eine auf sie zugeschnittene E-Mail zu senden. In dieser E-Mail soll das Opfer dazu verleitet werden, einen Link anzuklicken oder aber den E-Mail-Anhang zu öffnen. So ist es kein Problem für die Angreifer, selbst in die gesicherten Netze von Regierungen, Rüstungskonzernen oder anderen Organisationen einzudringen.

Schon seit Monaten sammelt Emotet Informationen darüber, wer mit wem innerhalb eines Unternehmens kommuniziert. Sogar die Inhalte der E-Mails werden in den letzten Versionen des Trojaners abgegriffen. In der Folge können die Angreifer nahezu perfekte Phishing-E-Mails versenden, die an das gängige Kommunikationsschema des Unternehmens angepasst sind.

Heise Security geht sogar einen Schritt weiter und spricht vom „Dynamit-Phishing“, da die E-Mails automatisiert erstellt und in sehr großer Zahl versendet werden. Vom Spear-Phishing kann damit wirklich nur bedingt die Rede sein.

So enthalten die aktuellen Emotet-Phishing-Mails einen .doc-Anhang mit Makros. Leider geschieht es immer und immer wieder, dass der Empfänger nach dem Öffnen des Dokuments selbigem erlaubt, Makros zu verwenden. So hat der Trojaner leichtes Spiel: Der Rechner wird einfach über die eingebetteten PowerShell-Kommandos infiziert, weitere Schadsoftware lädt aus dem Internet nach. Nachgeladen werden kann beispielsweise der Banking-Trojaner Trickbot.

Den eigentlichen Schaden verursacht also nicht die Erstinfektion. Entsprechend dem Vorbild der APT-Hacker versucht Emotet, sich im Netz auszubreiten („Lateral Movement“). Genutzt werden dafür die auf dem Computer verwendeten Zugangsdaten sowie ein Exploit. Der Exploit stammt aus den geheimen NSA-Labors.

Wie Sie sich effektiv vor Emotet schützen

Leider gibt es keine 100-prozentige Sicherheit. Dennoch können Sie verschiedene Schutzmaßnahmen auf organisatorischer und technischer Ebene umsetzen, die das Infektionsrisiko durch Emotet oder ähnliche Angriffe signifikant reduzieren. Insbesondere zählen dazu Sicherheitsmaßnahmen zur sicheren E-Mail-Nutzung, unter anderem das Verwenden von S/MIME, der Verzicht auf das Nachladen externer Inhalte sowie Vorsicht beim Anklicken von enthaltenen Links. Eine optimierte Sicherheit erreichen Sie außerdem durch folgende Punkte:

  • Sicherheitsupdates zügig installieren: Installieren Sie Sicherheitsupdates immer zeitnah – sowohl jene, die das Betriebssystem treffen, als auch jene, die für Anwendungen bereitgestellt werden.
  • AV-Software: Setzen Sie auf eine gute Antiviren-Software und halten Sie diese stets aktuell.
  • Backups: Sichern Sie regelmäßig Ihre Daten – idealerweise verschlüsselt auf externen Speichermedien.
  • Benutzerkonto: Um im Internet zu surfen oder E-Mails zu schreiben, können Sie sich ein gesondertes Benutzerkonto auf Ihrem Rechner einrichten.
  • Nicht blauäugig sein: Auch bei E-Mails von vermeintlich Bekannten setzen Sie bitte auf Vorsicht! Öffnen Sie Anhänge nur mit Vorsicht, insbesondere, wenn es sich um Office-Dokumente handelt. Prüfen Sie Links in der Nachricht vor dem Anklicken. Informieren Sie sich im Zweifel immer beim vermeintlichen Absender und erkundigen Sie sich nach der Glaubhaftigkeit des Inhalts.

Das BSI gibt noch weitere Empfehlungen, die Sie umsetzen müssen und sollten. Informationen finden Sie auf der Website des BSI.

Was tun, wenn eine Infizierung bereits stattgefunden hat?

Sind die Systeme Ihrer IT-Organisation bereits infiziert, sollten Sie die folgenden Schritte beachten:

  • Isolieren Sie potenziell infizierte Systeme umgehend vom Netzwerk. So verhindern Sie Lateral Movement. Ziehen Sie das Netzwerkkabel. Fahren Sie keinesfalls das Gerät herunter und ziehen Sie nicht das Netzkabel. Für spätere Analysen können Sie eine forensische Sicherung mit Speicherabbild erstellen.
  • Melden Sie sich keinesfalls mit Ihrem Nutzer-Account auf einem potenziell infizierten System an, während es sich im Netzwerk befindet.
  • Oftmals werden nachgeladene Schadprogramme nicht von der Antiviren-Software erkannt. Betrachten Sie ein infiziertes System bitte als vollständig kompromittiert und setzen Sie es neu auf.
  • Dasselbe gilt für Zugangsdaten oder Passwörter: Betrachten Sie diese auf betroffenen Systemen als kompromittiert und ändern Sie sämtliche Logins.
  • Damit Angreifer nicht erkennen, dass sie entdeckt wurden, verlegen Sie Ihre interne Krisen-Kommunikation auf externe Adressen und kommunizieren Sie idealerweise verschlüsselt (z. B. S/MIME). Nutzen Sie keinesfalls die kompromittierte interne E-Mail.
  • Machen Sie Meldung beim BSI – das funktioniert ggf. auch anonym.
  • Verzichten Sie nicht auf eine Strafanzeige. Dafür können Sie sich an die Zentrale Ansprechstelle Cybercrime (ZAC) in Ihrem Bundesland wenden.
  • Kommunizieren Sie den Vorfall sinnvoll mit Ihren Mitarbeitern. Das ist einerseits notwendig, um die Gründe des aktuellen Stillstands zu erklären. Andererseits jedoch auch, um Mitarbeiter zu informieren, dass diese eventuell privat betroffen sein könnten. Das ist dann wahrscheinlich, wenn der Arbeitsplatz privat genutzt werden darf und dort womöglich Passwörter oder Kontodaten verwendet wurden. Auch zur Sensibilisierung sind solche Gespräche unabdingbar.
  • Informieren Sie auch Geschäftspartner und Kunden über den Angriff. Erklären Sie, wie Emotet arbeitet und dass Sie Ihre Kunden/ Geschäftspartner schützen möchten.

Fazit zum Spear Phishing mit Emotet

Mit der Emotet-Angriffswelle wird sehr deutlich, wie ausgereift Phishing-Attacken mittlerweile sind. Die Zeiten, in denen Phishing-Mails schon an ihrem schrecklichen Äußeren erkannt werden konnten, sind vorbei! Deshalb verursachen Attacken wie Emotet immer höhere Schäden. Es lohnt sich, immer up-do-date zu bleiben. Auch lohnt es sich, in Awareness-Maßnahmen für die Mitarbeitersensibilisierung zu investieren. Denn alle organisatorischen und technischen Vorkehrungen nutzen nichts, wenn die Mitarbeiter ahnungslos bleiben und mit ihrem Verhalten die Sicherheit des Unternehmens massiv gefährden.

Wie hat Ihnen dieser Artikel gefallen?

Average rating / 5. Vote count:



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu