2. Dezember 2021 
Marc Wilhelmi 

Die Rück­kehr von Emotet – mit Managed Secu­rity Systems vorbeugen

Noch im Januar konnten Straf­ver­folger von der erfolg­rei­chen Zerschla­gung der Emotet-Infra­struktur berichten (LKA-Pres­se­mit­tei­lung). Die Server­in­fra­struktur wurde über­nommen, die eigent­liche Emotet-Bande so von ihrem Werk­zeug getrennt und in späteren Schritten auf vielen befal­lenen Systemen die Schad­soft­ware gelöscht.

Da damals nicht von größeren Verhaf­tungen der Hinter­leute zu lesen war, lag die Vermu­tung schon damals nicht fern, dass sich die Bande früher oder später wieder zurück­melden würde und genau das ist nun passiert. Damit rücken auch wieder Fragen in den Fokus, wie mit dieser neuen/alten Bedro­hung am besten umge­gangen werden kann und ob in Zeiten knapper Perso­nal­res­sourcen über Managed Secu­rity Lösungen die eigene IT entlastet werden kann.

Die Stra­tegie der Cyber­kri­mi­nellen war schon immer äußerst effi­zient: alte E‑Mails poten­zi­eller Opfer stehlen und anschlie­ßend darauf samt infi­ziertem Anhang antworten. Öffnete ein Empfänger nach einem soge­nannten E‑Mail-Conver­sa­tion-Thread-Hijacking-Angriff die Datei, konnte das System mit einem Trojaner verschlüs­selt werden, um Löse­geld zu erpressen. Allein in Deutsch­land entstand so ein Schaden in Milliardenhöhe. 

Bei der inzwi­schen neu entdeckten Vari­ante greifen die Emotet-Betrüger auf das Bot-Netz­werk von TrickBot zurück. Auf bereits von TrickBot infi­zierten Rech­nern können so ganz einfach neue Dateien herun­ter­ge­laden und ausge­rollt werden – so jetzt auch mit Daten geschehen, die zwar eine etwas andere Quell­code­struktur aufweisen, aber trotzdem als Emotet iden­ti­fi­ziert wurden. Als Träger dienen neben veral­teten Office-Formaten wie .doc oder .xls sowohl .docm- und .xlsm-Dateien als auch pass­wort­ge­schützte ZIP-Anhänge.

Die Mecha­nismen bei Emotet-Angriffen

So hilft das Managed Secu­rity-Port­folio von integrate-it

Die neue Emotet-Welle zeigt einmal mehr, dass Unter­nehmen jeder­zeit auf uner­war­tete Angriffe vorbe­reitet sein müssen. Neben leis­tungs­starken Anti­viren- und Anti­spam-Lösungen müssen Sie also auch auf Produkte zurück­greifen, die unbe­kannte Angriffs­tak­tiken sofort erkennen und stoppen. Mit unserem breit aufge­stellten Managed Secu­rity Services (MSS) unter­stützen wir Sie hier optimal:

Client Manage­ment

Die wich­tigste Grund­lage ist das Client-Manage­ment. Mit regel­mä­ßigem Patching (Windows & 3rd-Party) werden Sicher­heits­lü­cken zeitnah verläss­lich geschlossen. Über den Manage­ment-Agent werden aber auch weitere Sicher­heits­ver­bes­se­rungen möglich:

Managed secu­rity pakete

In unseren Managed Secu­rity Paketen bündeln wir weitere Maßnahmen, um Angriffe zu erkennen. Denn auch wenn die Vermei­dung von erfolg­rei­chen Angriffen der wich­tigste Schritt ist, bleibt es nur ein erster Schritt. Die Erken­nung eines bereits laufenden und in Teilen erfolg­rei­chen Angriffs ist genauso wichtig, denn es gibt keine 100%ige Sicherheit.

Wenn man aber in der Lage ist, erste typi­sche Ausbrei­tungs­schritte der Angreifer im eigenen Netz zu erkennen und zu unter­binden, kann ein erfolg­rei­cher Angriff mit weit­rei­chenden Folgen, wie Daten­dieb­stahl und Verschlüs­se­lung der Systeme, noch verhin­dert werden. Und unsere Managed Secu­rity Pakete zielen genau auf diese Punkte:

Veeam Cloud Connect Backup mit Insider-Protection

Die Insider-Protec­tion des Veeam Cloud Connect war ursprüng­lich gedacht, um Unter­nehmen vor eigenen Admins zu schützen, die mutwillig Backups zerstören wollen. Durch die Tren­nung des Stand­ortes und einem zusätz­li­chen Mecha­nismus, der es dem Backup-Admin unmög­lich macht, die Remote Backups zu löschen.

In Zeiten von Ransom­ware-Angriffen wie mit Emotet, hilft die Insider Protec­tion gegen die Emotet-Angreifer, die häufig in die Rolle des bösen Admins schlüpfen: Sie breiten sich im Netz aus, bringen die Backup-Server unter ihre Kontrolle und machen heim­lich die Backups (on- und off-site) unbrauchbar. Wenn das passiert ist, starten sie die Verschlüs­se­lung und das Unter­nehmen steht ohne Backup da.

Hier greift die Insider Protec­tion und schützt die offsite-Backups vor dem Löschen. So bleibt im Fall der Fälle zumin­dest noch ein letztes Backup intakt.

Wie mit Managed Secu­rity starten?

Wichtig ist bei der IT-Secu­rity immer ein ganz­heit­li­ches und konti­nu­ier­li­ches Vorgehen. Einzel­maß­nahmen und rein tech­ni­sche Lösungen erfassen nie Bereiche und eine einma­lige Aktion hält nur kurz vor.

Darum empfehlen wir als Managed Secu­rity Service Provider immer ein Paket an Maßnahmen, um in eine konti­nu­ier­liche Betrach­tung zu kommen. So werden Lücken entdeckt und geschlossen, aber auch neue Probleme werden konti­nu­ier­lich erkannt und gewisse Nach­läs­sig­keiten nach scheinbar ruhigen Phasen verhindert.

Wir freuen uns, wenn wir Sie mit Managed Secu­rity Services unter­stützen können. Ihr Ansprech­partner bei der inte­grate-it ist Marc Wilhelmi.