Die Rückkehr von Emotet – mit Managed Security Systems vorbeugen
Noch im Januar konnten Strafverfolger von der erfolgreichen Zerschlagung der Emotet-Infrastruktur berichten (LKA-Pressemitteilung). Die Serverinfrastruktur wurde übernommen, die eigentliche Emotet-Bande so von ihrem Werkzeug getrennt und in späteren Schritten auf vielen befallenen Systemen die Schadsoftware gelöscht.
Da damals nicht von größeren Verhaftungen der Hinterleute zu lesen war, lag die Vermutung schon damals nicht fern, dass sich die Bande früher oder später wieder zurückmelden würde und genau das ist nun passiert. Damit rücken auch wieder Fragen in den Fokus, wie mit dieser neuen/alten Bedrohung am besten umgegangen werden kann und ob in Zeiten knapper Personalressourcen über Managed Security Lösungen die eigene IT entlastet werden kann.
Die Strategie der Cyberkriminellen war schon immer äußerst effizient: alte E‑Mails potenzieller Opfer stehlen und anschließend darauf samt infiziertem Anhang antworten. Öffnete ein Empfänger nach einem sogenannten E‑Mail-Conversation-Thread-Hijacking-Angriff die Datei, konnte das System mit einem Trojaner verschlüsselt werden, um Lösegeld zu erpressen. Allein in Deutschland entstand so ein Schaden in Milliardenhöhe.
Bei der inzwischen neu entdeckten Variante greifen die Emotet-Betrüger auf das Bot-Netzwerk von TrickBot zurück. Auf bereits von TrickBot infizierten Rechnern können so ganz einfach neue Dateien heruntergeladen und ausgerollt werden – so jetzt auch mit Daten geschehen, die zwar eine etwas andere Quellcodestruktur aufweisen, aber trotzdem als Emotet identifiziert wurden. Als Träger dienen neben veralteten Office-Formaten wie .doc oder .xls sowohl .docm- und .xlsm-Dateien als auch passwortgeschützte ZIP-Anhänge.
Die Mechanismen bei Emotet-Angriffen
So hilft das Managed Security-Portfolio von integrate-it
Die neue Emotet-Welle zeigt einmal mehr, dass Unternehmen jederzeit auf unerwartete Angriffe vorbereitet sein müssen. Neben leistungsstarken Antiviren- und Antispam-Lösungen müssen Sie also auch auf Produkte zurückgreifen, die unbekannte Angriffstaktiken sofort erkennen und stoppen. Mit unserem breit aufgestellten Managed Security Services (MSS) unterstützen wir Sie hier optimal:
Client Management
Die wichtigste Grundlage ist das Client-Management. Mit regelmäßigem Patching (Windows & 3rd-Party) werden Sicherheitslücken zeitnah verlässlich geschlossen. Über den Management-Agent werden aber auch weitere Sicherheitsverbesserungen möglich:
- Überwachung lokaler Admin-Gruppen (Gibt es hier Änderungen, ist das ein Indiz für einen Angriff),
- Überwachung der lokalen hosts-Datei, um DNS-Spoofing zu erkennen,
- automatisches Inventory, um beim Erscheinen von Notfallpatches schnell prüfen zu können, welcher Clients noch gepatcht werden müssen,
- Überwachung der Windows-Eventlogs auf verdächtige Meldung.
Managed security pakete
In unseren Managed Security Paketen bündeln wir weitere Maßnahmen, um Angriffe zu erkennen. Denn auch wenn die Vermeidung von erfolgreichen Angriffen der wichtigste Schritt ist, bleibt es nur ein erster Schritt. Die Erkennung eines bereits laufenden und in Teilen erfolgreichen Angriffs ist genauso wichtig, denn es gibt keine 100%ige Sicherheit.
Wenn man aber in der Lage ist, erste typische Ausbreitungsschritte der Angreifer im eigenen Netz zu erkennen und zu unterbinden, kann ein erfolgreicher Angriff mit weitreichenden Folgen, wie Datendiebstahl und Verschlüsselung der Systeme, noch verhindert werden. Und unsere Managed Security Pakete zielen genau auf diese Punkte:
- Vulnerability Scans zur Erkennung veralteter oder unsicherer Systeme
- Überwachung von Admin-Gruppen im Active Directory
- Regelmäßige Schwachstellenanalyse im Active Directory, um veraltete Accounts oder Fehlkonfigurationen zu erkennen.
- Jährliche ITQ-Audits, um strukturelle und organisatorische Defizite zu erkennen
- Regelmäßige Phishing-Kampagnen, um Mitarbeitende zu sensibilisieren und mit Awareness-Trainings so erkannte Lücken im Wissen zu schließen
- Monitoring der Verschlüsselungs-Key im Veeam-Backup
Veeam Cloud Connect Backup mit Insider-Protection
Die Insider-Protection des Veeam Cloud Connect war ursprünglich gedacht, um Unternehmen vor eigenen Admins zu schützen, die mutwillig Backups zerstören wollen. Durch die Trennung des Standortes und einem zusätzlichen Mechanismus, der es dem Backup-Admin unmöglich macht, die Remote Backups zu löschen.
In Zeiten von Ransomware-Angriffen wie mit Emotet, hilft die Insider Protection gegen die Emotet-Angreifer, die häufig in die Rolle des bösen Admins schlüpfen: Sie breiten sich im Netz aus, bringen die Backup-Server unter ihre Kontrolle und machen heimlich die Backups (on- und off-site) unbrauchbar. Wenn das passiert ist, starten sie die Verschlüsselung und das Unternehmen steht ohne Backup da.
Hier greift die Insider Protection und schützt die offsite-Backups vor dem Löschen. So bleibt im Fall der Fälle zumindest noch ein letztes Backup intakt.
Wie mit Managed Security starten?
Wichtig ist bei der IT-Security immer ein ganzheitliches und kontinuierliches Vorgehen. Einzelmaßnahmen und rein technische Lösungen erfassen nie Bereiche und eine einmalige Aktion hält nur kurz vor.
Darum empfehlen wir als Managed Security Service Provider immer ein Paket an Maßnahmen, um in eine kontinuierliche Betrachtung zu kommen. So werden Lücken entdeckt und geschlossen, aber auch neue Probleme werden kontinuierlich erkannt und gewisse Nachlässigkeiten nach scheinbar ruhigen Phasen verhindert.
Wir freuen uns, wenn wir Sie mit Managed Security Services unterstützen können. Ihr Ansprechpartner bei der integrate-it ist Marc Wilhelmi.