24. Januar 2019 
Marc Wilhelmi 

Bedro­hung durch Trojaner Emotet hält an

Bereits im Dezember hatte das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI) vor dem Trojaner Emotet gewarnt – jetzt hat es die Warnung auf Twitter erneuert. „Nach einer Weih­nachts­pause“ lande nun wieder massen­haft Spam in den Mail-Post­fä­chern. Das Problem: Stan­dard-Anti­viren-Soft­ware erkennt die Malware oft nicht. Wie genau Emotet funk­tio­niert, welche Gefahren darin verborgen liegen und wie Sie Ihre IT-Infra­struktur schützen, lesen Sie in diesem Artikel.

Vorsicht beim Öffnen unver­langt zuge­sandter E‑Mail-Anhänge!

Neue Qualität der Gefährdung

Das BSI betrachtet Emotet „als eine der größten Bedro­hungen durch Schad­soft­ware welt­weit“. Die Schäden errei­chen in einzelnen Fällen Millio­nen­höhe; der Gesamt­um­fang lässt sich noch nicht abschätzen. BSI-Präsi­dent Arne Schön­bohm spricht von einer neuen Qualität der Gefähr­dung: „Emotet ist nach unserer Einschät­zung ein Fall von Cyber-Krimi­na­lität, bei der die Methoden hoch­pro­fes­sio­neller APT-Angriffe adap­tiert und auto­ma­ti­siert wurden.“ Hinter solchen komplexen und ziel­ge­rich­teten Angriffen auf kriti­sche IT-Infra­struk­turen stehen oft staat­lich geför­derte Hacker-Gruppen.

Der Trojaner verbreitet sich über gefälschte E‑Mails, die aussehen, als kämen sie von Freunden oder Geschäfts­part­nern. In der Mail wird auf eine ange­hängte Word-Datei verwiesen, die oft als Rech­nung getarnt ist. Öffnet der Empfänger die Datei, wird er aufge­for­dert, Makro­funk­tionen zu akti­vieren. Dieser Befehl ist das Einfallstor für Emotet: Der Virus instal­liert sich und lädt weitere Schad­soft­ware nach, unter anderem den Banking-Trojaner TrickBot und immer häufiger auch die Verschlüs­se­lungs­soft­ware Ryuk.

Wie funk­tio­niert der Trojaner Emotet?

Türöffner für Erpressungsversuche

Das ist eine hoch­ge­fähr­liche Kombi­na­tion, die laut Spiegel und anderen Medien in Erpres­sungs­ver­suche münden kann: Emotet fungiert als Türöffner und lädt TrickBot nach. TrickBot fischt Konto­zu­gangs­daten ab. Aufgrund dieser Infor­ma­tionen kalku­lieren die Angreifer dann eine Löse­geld­summe. Jetzt lädt TrickBot Ryuk nach. Die Ransom­ware verschlüs­selt die sensi­blen Dateien und erschwert deren Wieder­her­stel­lung, indem sie alle Back-ups löscht, die sie findet. Noch wird nur von Einzel­fällen gespro­chen. Experten vermuten aber, dass solche auto­ma­ti­sierten Back-up-Löschungen in den nächsten Jahren zunehmen werden.

Wie schützen Sie Ihre IT-Infrastruktur?

Als inte­grate-it empfehlen wir folgende Maßnahmen:

Ihr System scheint infiziert?

Schritte zur Sofort-Hilfe

Nehmen Sie das poten­ziell infi­zierte System sofort aus dem Netz­werk. Ziehen Sie dazu das Netz­werk­kabel (LAN), aber fahren Sie das Gerät nicht herunter und lassen Sie es am Stromnetz.

Melden Sie sich keines­falls mit privi­le­giertem Nutzer­konto auf einem poten­ziell infi­zierten System an, während es sich noch im produk­tiven Netz­werk befindet. 

Wir empfehlen, infi­zierte Systeme grund­sätz­lich neu aufzu­setzen. Denn die Modi­fi­ka­tionen, die die nach­ge­la­dene Malware am System vornimmt, können nicht einfach rück­gängig gemacht werden.

Ändern Sie die Pass­wörter für alle im Systemen gespei­cherten Accounts.

Kommu­ni­zieren Sie den Stör­fall nur über externe Adressen, wenn möglich verschlüs­selt. Sonst erkennen die Angreifer sofort, dass sie entdeckt wurden.

Melden Sie den Vorfall beim BSI und stellen Sie Straf­an­zeige. Wenden Sie sich dazu an die Zentrale Ansprech­stelle Cyber­crime (ZAC) in Ihrem Bundesland.

Infor­mieren Sie Ihre Geschäfts­partner und Kunden über den Vorfall und weisen Sie sie proaktiv auf mögliche zukünf­tige Angriffs­ver­suche hin.

Lassen Sie Ihr Unter­nehmen durch einen profes­sio­nellen Dienst­leister bei der IT-Secu­rity schützen. Gern infor­mieren wir rund um Ihre Fragen: 030/ 4678397–0