IT-Security

Update zu Emotet: Trojaner in Spam-E-Mails gefährlicher denn je

5. März 2019 von Bianca Wellbrock

emotet_spear_phishing
© psdesign1 - Fotolia.com

Vor nicht allzu langer Zeit berichteten wir über Spear Phishing mit Emotet. Auch heute ist die Gefahr längst nicht vorüber – im Gegenteil: Die Risiken, die durch den Trojaner entstehen können, werden größer und Emotet gilt schon jetzt als eines der gefährlichsten Schadprogramme der Welt.

Emotet legt erst richtig los

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erneuerte seine schon im Dezember 2018 ausgesprochene Warnung vor dem Trojaner Emotet. Nachdem Emotet eine kleine Weihnachtspause eingelegt hat, finden sich jetzt wieder massenhaft Spam-E-Mails mit dem Schädling anbei in zahlreichen Postfächern; Virenscanner erkennen den Trojaner oft noch nicht.

Wie wir im Dezember 2018 bereits gewarnt hatten, lädt Emotet unterschiedliche Schadsoftware nach. Bisher waren dies Banking-Trojaner wie Trickbot. Nun auch immer häufiger die Ransomware Ryuk.

Emotet erhält perfide Verstärkung

Und diese Ransomware hat es in sich! Ist der Trojaner auf den Rechner gelangt, wird zunächst die Schadsoftware Trickbot nachgeladen. Diese hat es auf Online-Banking-Zugangsdaten abgesehen. Als wäre dies nicht schon schlimm genug, lädt Emotet auch immer häufiger den Verschlüsselungstrojaner Ryuk auf befallene Rechner.

Dieser Verschlüsselungstrojaner verschlüsselt – wie der Name schon erahnen lässt – Dateien des Rechners. Das ist jedoch noch nicht alles: Findet der Trojaner Backups, fallen sie ihm zum Opfer – die Dateien werden gelöscht. Perfide, denn diese Methode dient dazu, die Zahlungsbereitschaft der erpressten Opfer deutlich zu erhöhen.

Infizierung durch täuschend echte Spam-Mails

Eigentlich ist unsere Gesellschaft recht aufgeklärt, was Spam-E-Mails betrifft. Das wissen auch die Cyberkriminellen, die hinter Emotet stecken. Deshalb achten die Angreifer sehr genau darauf, E-Mails zu senden, die auf die Zielperson zugeschnitten sind. Der Trojaner sammelt Informationen darüber, wie für gewöhnlich kommuniziert wird. Sich dieser Kommunikation anpassend, können Angreifer sogar die gesicherten Netze von Regierungen oder Rüstungskonzernen eindringen.

Dass KMU und Privatpersonen genauso gefährdet sind wie Großkonzerne, wird schnell deutlich. Durch diesen teils automatisierten Social Engineering-Angriff erhalten die Empfänger Nachrichten von Absendern, mit denen sie wirklich zuletzt in Kontakt standen. So nutzten die Angreifer längst schon bekannte Absenderadressen:

  • DHL-Sendungsverfolgung: Fast jeder bestellt mittlerweile online. Die ahnungslosen Nutzer erhalten gefälschte E-Mails, die dem Original zum Verwechseln ähnlich sehen. Meist sind Links und Anhänge enthalten, die dafür sorgen, dass Emotet auf dem Rechner landet.
  • Telekom-Rechnung: Täuschend echt aussehende Telekom-Rechnungen sind ebenfalls derzeit in Umlauf. Die Angreifer lassen die E-Mails so echt aussehen, dass sogar ein Hinweis in diesen Rechnungen zu finden ist, wie man bei der Telekom mit Spam-Mails umgeht.
  • Microsoft: Einer originalen Microsoft-Mail zum Verwechseln ähnlich sieht auch diese Spam-E-Mail. Die Angreifer nutzen das Microsoft-Logo und in der Mail geht es um einen “aktualisierten Servicevertrag”. Nutzer, die diesen vermeintlich neuen Servicebedingungen nicht zustimmen, sollen einem Link folgen, um den Microsoft-Account zu schließen. Wer der Aufforderung folgt, lädt den Trojaner Emotet samt Trickbot und/ oder Ryuk erfolgreich auf seinen Rechner.

Emotet erkennen und entfernen

Mit einigen Schutzmaßnahmen auf organisatorischer und technischer Ebene reduzieren Sie das Infektionsrisiko durch Emotet und andere Angriffe deutlich. Wichtig: Verzichten Sie auf das Nachladen externer Inhalte. Bleiben Sie – auch bei vermeintlich bekannten Absendern – skeptisch bei Anhängen. Dies gilt insbesondere für Office-Dokumente. Wird bei diesen das Zulassen von Makros gefordert, willigen Sie auf keinen Fall ein, denn damit nimmt das Unglück seinen Lauf.

Prüfen Sie auch die Links in der E-Mail – und zwar bevor Sie diese anklicken. Kommt Ihnen eine E-Mail verdächtig vor, rufen Sie den Absender idealerweise an und erkundigen Sie sich nach der Echtheit dieser E-Mail. Was Sie außerdem tun können:

  • Sorgen Sie dafür, dass Sicherheitsupdates immer zeitnah eingespielt werden.
  • Nutzen Sie eine gute Antiviren-Software und halten Sie diese immer aktuell.
  • Ihre Datensicherung muss regelmäßig stattfinden und idealerweise auf externen Speichermedien abgelegt werden.
  • Richten Sie sich ein gesondertes Nutzerkonto auf Ihrem Rechner ein, um online zu surfen oder E-Mails abzufragen und zu schreiben.

Sind Sie betroffen, so sollten Sie Ihr Umfeld über die Infektion informieren. Ihre E-Mail-Kontakte sind besonders gefährdet, ebenfalls bald zum Emotet-Opfer zu werden – deshalb: klären Sie auf!

Im nächsten Schritt ist es empfehlenswert, Ihre womöglich gespeicherten oder eingegebenen Zugangsdaten auf allen betroffenen Systemen zu aktualisieren. Übersehen Sie hierbei möglichst keine Anwendung, bedenken Sie beispielsweise auch Ihren Webbrowser.

Die Schadprogramme sind in der Lage, tiefgreifende und damit sicherheitsrelevante Änderungen an Ihrem System durchzuführen. Ist Ihr Rechner also infiziert, denken Sie bitte ernsthaft darüber nach, den Rechner komplett neu aufzusetzen.

Es gibt durchaus Tools, von denen behauptet wird, sie könnten es mit Trojanern wie Emotet aufnehmen. Dazu gehört beispielsweise der Trojan Remover. Gegen Emotet kann das Tool tatsächlich jedoch wenig ausrichten, also verzichten Sie bitte im Falle einer Infektion auf solche Tools und befolgen Sie die obigen Empfehlungen vom BSI.

Ausblick

Nach wie vor gilt also, höchste Vorsicht beim Empfang von E-Mails walten zu lassen. Halten Sie sich unbedingt über die weiteren Entwicklungen über Emotet auf dem Laufenden – hier im Blog oder in weiteren Medien.

Es gibt übrigens auch schon erste Lichtblicke im Kampf gegen Emotet. So haben Sicherheitsforscher des Zscaler-ThreatLabZ-Teams den Krypter analysiert, mit dem Emotet und andere Trojaner verschleiert wurden. Solche Krypter setzen Hacker ein, um Malware für die Sicherheitsprogramme schwieriger erkennbar zu machen.

Erste Schritte in die richtige Richtung existieren also schon. Bleiben Sie dennoch vorsichtig und skeptisch – Ihrer Sicherheit zuliebe!

Wie hat Ihnen dieser Artikel gefallen?

Average rating / 5. Vote count:



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu