Bedrohung durch Trojaner Emotet hält an

Vorsicht beim Öffnen unverlangt zugesandter E-Mail-Anhänge!

Bereits im Dezember hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dem Trojaner Emotet gewarnt – jetzt hat es die Warnung auf Twitter erneuert. „Nach einer Weihnachtspause“ lande nun wieder massenhaft Spam in den Mail-Postfächern. Das Problem: Standard-Antiviren-Software erkennt die Malware oft nicht. Wie genau Emotet funktioniert, welche Gefahren darin verborgen liegen und wie Sie Ihre IT-Infrastruktur schützen, lesen Sie in diesem Artikel.

Neue Qualität der Gefährdung

Das BSI betrachtet Emotet „als eine der größten Bedrohungen durch Schadsoftware weltweit“. Die Schäden erreichen in einzelnen Fällen Millionenhöhe; der Gesamtumfang lässt sich noch nicht abschätzen. BSI-Präsident Arne Schönbohm spricht von einer neuen Qualität der Gefährdung:  „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden.“ Hinter solchen komplexen und zielgerichteten Angriffen auf kritische IT-Infrastrukturen stehen oft staatlich geförderte Hacker-Gruppen.

Wie funktioniert der Trojaner Emotet?

Der Trojaner verbreitet sich über gefälschte E-Mails, die aussehen, als kämen sie von Freunden oder Geschäftspartnern. In der Mail wird auf eine angehängte Word-Datei verwiesen, die oft als Rechnung getarnt ist. Öffnet der Empfänger die Datei, wird er aufgefordert, Makrofunktionen zu aktivieren. Dieser Befehl ist das Einfallstor für Emotet: Der Virus installiert sich und lädt weitere Schadsoftware nach, zum Beispiel den Banking-Trojaner TrickBot und immer häufiger auch die Verschlüsselungssoftware Ryuk.

Türöffner für Erpressungsversuche

Das ist eine hoch gefährliche Kombination, die laut Spiegel und anderen Medien in Erpressungsversuche münden kann: Emotet fungiert als Türöffner und lädt TrickBot nach. TrickBot fischt Kontozugangsdaten ab. Aufgrund dieser Informationen kalkulieren die Angreifer dann eine Lösegeldsumme. Jetzt lädt TrickBot Ryuk nach. Die Ransomware verschlüsselt die sensiblen Dateien und erschwert deren Wiederherstellung, indem sie alle Back-ups löscht, die sie findet.

Noch wird nur von Einzelfällen gesprochen. Experten vermuten aber, dass solche automatisierten Back-up-Löschungen in den nächsten Jahren zunehmen werden.

Wie schützen Sie Ihre IT-Infrastruktur?

Als integrate-it empfehlen wir folgende Maßnahmen:

  • Öffnen Sie unverlangt zugesandte Dateianhänge von E-Mails (insbesondere Office-Dokumente) im Zweifel erst nach Rücksprache mit dem Absender
  • Prüfen Sie in den Nachrichten enthaltene Links genau, bevor sie diese anklicken
  • Installieren Sie Sicherheitsupdates für Ihre Betriebssysteme und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.) und führen Sie regelmäßig Backups durch
  • Arbeiten Sie mit zentral administrierter AV-Software und prüfen Sie regelmäßige, ob Updates von AV-Signaturen auf alle Clients verteilt werden
  • Behalten Sie Ihre Logdaten im Auge und sorgen Sie ggf. dafür, dass Sie bei schweren Anomalien automatisch alarmiert werden
  • Segmentieren Sie Ihre Netzwerk-Administration nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen
  • Geben Sie jedem Nutzerkonto nur die Berechtigungen, die für seine Aufgabenerfüllung unbedingt erforderlich sind
  • Deaktivieren Sie die Ausführung von Makros zentral per Gruppenrichtlinie und achten Sie darauf, dass alle Makros digital signiert sind
  • Deinstallieren Sie nicht benötigte Software, schränken Sie die Ausführung aktiver Browser-Inhalte ein und entfernen Sie nicht benötigte Browser-Plug-Ins (z. B. Flash, Java).

Ihr System scheint infiziert? 7 Schritte zur Sofort-Hilfe

Schritt 1: Nehmen Sie das potenziell infizierte System sofort aus dem Netzwerk. Ziehen Sie dazu das Netzwerkkabel (LAN), aber fahren Sie das Gerät nicht herunter und lassen Sie es am Stromnetz.

Schritt 2: Melden Sie sich keinesfalls mit privilegiertem Nutzerkonto auf einem potenziell infizierten System an, während es sich noch im produktiven Netzwerk befindet.

Schritt 3: Wir empfehlen, infizierte Systeme grundsätzlich neu aufzusetzen. Denn die Modifikationen, die die nachgeladene Malware am System vornimmt, können nicht einfach rückgängig gemacht werden.

Schritt 4: Ändern Sie die Passwörter für alle im Systemen gespeicherten Accounts.

Schritt 5: Kommunizieren Sie den Störfall nur über externe Adressen, wenn möglich verschlüsselt. Sonst erkennen die Angreifer sofort, dass sie entdeckt wurden.

Schritt 6: Melden Sie den Vorfall beim BSI und stellen Sie Strafanzeige. Wenden Sie sich dazu an die Zentrale Ansprechstelle Cybercrime (ZAC) in Ihrem Bundesland.

Schritt 7: Informieren Sie Ihre Geschäftspartner und Kunden über den Vorfall und weisen Sie sie proaktiv auf mögliche zukünftige Angriffsversuche hin.

Schritt 8: Lassen Sie Ihr Unternehmen durch einen professionellen Dienstleister bei der IT-Security schützen. Gern informieren wir rund um Ihre Fragen:   030/ 4678397-0

 

Foto: Taskin Ashiq on Unsplash