SKRIPT ZUR POSITIONIERUNG DER SUBPANELS DER NAVIGATION - BITTE NICHT LÖSCHEN!
24. Januar 2019 
Marc Wilhelmi 

Bedro­hung durch Trojaner Emotet hält an

Bereits im Dezember hatte das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI) vor dem Trojaner Emotet gewarnt – jetzt hat es die Warnung auf Twitter erneuert. „Nach einer Weih­nachts­pause“ lande nun wieder massen­haft Spam in den Mail-Post­fä­chern. Das Problem: Stan­dard-Anti­viren-Soft­ware erkennt die Malware oft nicht. Wie genau Emotet funk­tio­niert, welche Gefahren darin verborgen liegen und wie Sie Ihre IT-Infra­struktur schützen, lesen Sie in diesem Artikel.

Vorsicht beim Öffnen unver­langt zuge­sandter E‑Mail-Anhänge!

Neue Qualität der Gefährdung

Das BSI betrachtet Emotet „als eine der größten Bedro­hungen durch Schad­soft­ware welt­weit“. Die Schäden errei­chen in einzelnen Fällen Millio­nen­höhe; der Gesamt­um­fang lässt sich noch nicht abschätzen. BSI-Präsi­dent Arne Schön­bohm spricht von einer neuen Qualität der Gefähr­dung: „Emotet ist nach unserer Einschät­zung ein Fall von Cyber-Krimi­na­lität, bei der die Methoden hoch­pro­fes­sio­neller APT-Angriffe adap­tiert und auto­ma­ti­siert wurden.“ Hinter solchen komplexen und ziel­ge­rich­teten Angriffen auf kriti­sche IT-Infra­struk­turen stehen oft staat­lich geför­derte Hacker-Gruppen.

Der Trojaner verbreitet sich über gefälschte E‑Mails, die aussehen, als kämen sie von Freunden oder Geschäfts­part­nern. In der Mail wird auf eine ange­hängte Word-Datei verwiesen, die oft als Rech­nung getarnt ist. Öffnet der Empfänger die Datei, wird er aufge­for­dert, Makro­funk­tionen zu akti­vieren. Dieser Befehl ist das Einfallstor für Emotet: Der Virus instal­liert sich und lädt weitere Schad­soft­ware nach, unter anderem den Banking-Trojaner TrickBot und immer häufiger auch die Verschlüs­se­lungs­soft­ware Ryuk.

Wie funk­tio­niert der Trojaner Emotet?

Türöffner für Erpressungsversuche

Das ist eine hoch­ge­fähr­liche Kombi­na­tion, die laut Spiegel und anderen Medien in Erpres­sungs­ver­suche münden kann: Emotet fungiert als Türöffner und lädt TrickBot nach. TrickBot fischt Konto­zu­gangs­daten ab. Aufgrund dieser Infor­ma­tionen kalku­lieren die Angreifer dann eine Löse­geld­summe. Jetzt lädt TrickBot Ryuk nach. Die Ransom­ware verschlüs­selt die sensi­blen Dateien und erschwert deren Wieder­her­stel­lung, indem sie alle Back-ups löscht, die sie findet. Noch wird nur von Einzel­fällen gespro­chen. Experten vermuten aber, dass solche auto­ma­ti­sierten Back-up-Löschungen in den nächsten Jahren zunehmen werden.

Wie schützen Sie Ihre IT-Infrastruktur?

Als inte­grate-it empfehlen wir folgende Maßnahmen:

  • Öffnen Sie unver­langt zuge­sandte Datei­an­hänge von E‑Mails (insbe­son­dere Office-Doku­mente) im Zweifel erst nach Rück­sprache mit dem Absender
  • Prüfen Sie in den Nach­richten enthal­tene Links genau, bevor sie diese anklicken
  • Instal­lieren Sie Sicher­heits­up­dates für Ihre Betriebs­sys­teme und Anwen­dungs­pro­gramme (Web-Browser, E‑Mail-Clients, Office-Anwen­dungen usw.) und führen Sie regel­mäßig Backups durch
  • Arbeiten Sie mit zentral admi­nis­trierter AV-Soft­ware und prüfen Sie regel­mä­ßige, ob Updates von AV-Signa­turen auf alle Clients verteilt werden
  • Behalten Sie Ihre Logdaten im Auge und sorgen Sie ggf. dafür, dass Sie bei schweren Anoma­lien auto­ma­tisch alar­miert werden
  • Segmen­tieren Sie Ihre Netz­werk-Admi­nis­tra­tion nach unter­schied­li­chen Vertrau­ens­zonen, Anwen­dungs­be­rei­chen und/oder Regionen
  • Geben Sie jedem Nutzer­konto nur die Berech­ti­gungen, die für seine Aufga­ben­er­fül­lung unbe­dingt erfor­der­lich sind
  • Deak­ti­vieren Sie die Ausfüh­rung von Makros zentral per Grup­pen­richt­linie und achten Sie darauf, dass alle Makros digital signiert sind
  • Deinstal­lieren Sie nicht benö­tigte Soft­ware, schränken Sie die Ausfüh­rung aktiver Browser-Inhalte ein und entfernen Sie nicht benö­tigte Browser-Plug-Ins (z. B. Flash, Java).

Ihr System scheint infiziert?

Schritte zur Sofort-Hilfe

  • Listen­ele­ment

Nehmen Sie das poten­ziell infi­zierte System sofort aus dem Netz­werk. Ziehen Sie dazu das Netz­werk­kabel (LAN), aber fahren Sie das Gerät nicht herunter und lassen Sie es am Stromnetz.

  • Listen­ele­ment

Melden Sie sich keines­falls mit privi­le­giertem Nutzer­konto auf einem poten­ziell infi­zierten System an, während es sich noch im produk­tiven Netz­werk befindet. 

  • Listen­ele­ment

Wir empfehlen, infi­zierte Systeme grund­sätz­lich neu aufzu­setzen. Denn die Modi­fi­ka­tionen, die die nach­ge­la­dene Malware am System vornimmt, können nicht einfach rück­gängig gemacht werden.

  • Listen­ele­ment

Ändern Sie die Pass­wörter für alle im Systemen gespei­cherten Accounts.

  • Listen­ele­ment

Kommu­ni­zieren Sie den Stör­fall nur über externe Adressen, wenn möglich verschlüs­selt. Sonst erkennen die Angreifer sofort, dass sie entdeckt wurden.

  • Listen­ele­ment

Melden Sie den Vorfall beim BSI und stellen Sie Straf­an­zeige. Wenden Sie sich dazu an die Zentrale Ansprech­stelle Cyber­crime (ZAC) in Ihrem Bundesland.

  • Listen­ele­ment

Infor­mieren Sie Ihre Geschäfts­partner und Kunden über den Vorfall und weisen Sie sie proaktiv auf mögliche zukünf­tige Angriffs­ver­suche hin.

  • Listen­ele­ment

Lassen Sie Ihr Unter­nehmen durch einen profes­sio­nellen Dienst­leister bei der IT-Secu­rity schützen. Gern infor­mieren wir rund um Ihre Fragen: 030/ 4678397–0

ISO-9001-V1
ISO-27001-V1
MGL-QS-Pool-sm
Logo_Wir_bilden_aus_WEB_RGB-data-IHK-Berlin-80
IT Consulting

Digitalisierungs-Strategie

Infrastruktur-Analyse

IT-Strategie

Managed Services

IT-Support & Helpdesk

Managed Clients

Managed Server

Managed ITSM

Managed Monitoring

Managed Firewall

 

Cloud Solutions

Rechenzentrum

Desktop-Virtualisierung

Cloud Backups

Microsoft 365

Microsoft Teams

Microsoft Exchange

Microsoft Sharepoint

 

IT Security

ITQ-Basisprüfung

Active Directory

Managed Antivirus

Managed Security Systems

© integrate-it 2024

Impressum  Datenschutz  Kontakt