24. Januar 2019
mw-admin

Bedrohung durch Trojaner Emotet hält an

Bereits im Dezember hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dem Trojaner Emotet gewarnt – jetzt hat es die Warnung auf Twitter erneuert. „Nach einer Weihnachtspause“ lande nun wieder massenhaft Spam in den Mail-Postfächern. Das Problem: Standard-Antiviren-Software erkennt die Malware oft nicht. Wie genau Emotet funktioniert, welche Gefahren darin verborgen liegen und wie Sie Ihre IT-Infrastruktur schützen, lesen Sie in diesem Artikel.

Vorsicht beim Öffnen unverlangt zugesandter E-Mail-Anhänge!

Neue Qualität der Gefährdung

Das BSI betrachtet Emotet „als eine der größten Bedrohungen durch Schadsoftware weltweit“. Die Schäden erreichen in einzelnen Fällen Millionenhöhe; der Gesamtumfang lässt sich noch nicht abschätzen. BSI-Präsident Arne Schönbohm spricht von einer neuen Qualität der Gefährdung: „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden.“ Hinter solchen komplexen und zielgerichteten Angriffen auf kritische IT-Infrastrukturen stehen oft staatlich geförderte Hacker-Gruppen.

Der Trojaner verbreitet sich über gefälschte E-Mails, die aussehen, als kämen sie von Freunden oder Geschäftspartnern. In der Mail wird auf eine angehängte Word-Datei verwiesen, die oft als Rechnung getarnt ist. Öffnet der Empfänger die Datei, wird er aufgefordert, Makrofunktionen zu aktivieren. Dieser Befehl ist das Einfallstor für Emotet: Der Virus installiert sich und lädt weitere Schadsoftware nach, unter anderem den Banking-Trojaner TrickBot und immer häufiger auch die Verschlüsselungssoftware Ryuk.

Wie funktioniert der Trojaner Emotet?

Türöffner für Erpressungsversuche

Das ist eine hochgefährliche Kombination, die laut Spiegel und anderen Medien in Erpressungsversuche münden kann: Emotet fungiert als Türöffner und lädt TrickBot nach. TrickBot fischt Kontozugangsdaten ab. Aufgrund dieser Informationen kalkulieren die Angreifer dann eine Lösegeldsumme. Jetzt lädt TrickBot Ryuk nach. Die Ransomware verschlüsselt die sensiblen Dateien und erschwert deren Wiederherstellung, indem sie alle Back-ups löscht, die sie findet. Noch wird nur von Einzelfällen gesprochen. Experten vermuten aber, dass solche automatisierten Back-up-Löschungen in den nächsten Jahren zunehmen werden.

Wie schützen Sie Ihre IT-Infrastruktur?

Als integrate-it empfehlen wir folgende Maßnahmen:

Ihr System scheint infiziert?

Schritte zur Sofort-Hilfe

Nehmen Sie das potenziell infizierte System sofort aus dem Netzwerk. Ziehen Sie dazu das Netzwerkkabel (LAN), aber fahren Sie das Gerät nicht herunter und lassen Sie es am Stromnetz.

Melden Sie sich keinesfalls mit privilegiertem Nutzerkonto auf einem potenziell infizierten System an, während es sich noch im produktiven Netzwerk befindet. 

Wir empfehlen, infizierte Systeme grundsätzlich neu aufzusetzen. Denn die Modifikationen, die die nachgeladene Malware am System vornimmt, können nicht einfach rückgängig gemacht werden.

Ändern Sie die Passwörter für alle im Systemen gespeicherten Accounts.

Kommunizieren Sie den Störfall nur über externe Adressen, wenn möglich verschlüsselt. Sonst erkennen die Angreifer sofort, dass sie entdeckt wurden.

Melden Sie den Vorfall beim BSI und stellen Sie Strafanzeige. Wenden Sie sich dazu an die Zentrale Ansprechstelle Cybercrime (ZAC) in Ihrem Bundesland.

Informieren Sie Ihre Geschäftspartner und Kunden über den Vorfall und weisen Sie sie proaktiv auf mögliche zukünftige Angriffsversuche hin.

Lassen Sie Ihr Unternehmen durch einen professionellen Dienstleister bei der IT-Security schützen. Gern informieren wir rund um Ihre Fragen: 030/ 4678397-0