Aktuell macht der brandgefährliche EMOTET-Trojaner in der Fachpresse wieder Schlagzeilen. Die Schadsoftware hat eine neue Bedrohungsqualität erreicht, daher möchten wir Sie darüber informieren, mit welchen Bedrohungen Sie es zu tun haben können und wie Sie sich und Ihre Mitarbeietr davor schützen.

Die Kurzform:

  • EMOTET-Bedrohung durch Antivirensoftware nicht zu vermeiden
  • Es kommt insbesondere auch auf das Benutzerverhalten an
  • Halten Sie sich an folgende Hinweise
  • Als wichtigste Schutzmaßnahme gilt: Auch und gerade bei vermeintlich bekannten Absendern Anhänge – insbesondere Office-Dokumente – nicht unbedacht und unreflektiert öffnen und nicht auf Links klicken.
  • Stellen Sie sich auch die Frage, ob Sie eine Nachricht von dem Absender erwarten: Im Zweifel sollte man beim Absender anrufen, um den Versand der E-Mail, ihren Inhalt und die Anhänge zu verifizieren.
  • Vergewissern Sie sich stets, ob der Name im Absenderfeld zur E-Mail-Adresse passt (Doppelklick auf den Namen des Absenders). Dies ist nur ein Anhaltspunkt: Da Emotet auch in der Lage ist, E-Mails direkt aus den befallenen Systemen heraus zu versenden, kann es auch vorkommen, dass der angezeigte und der tatsächliche Absender übereinstimmen und die E-Mail trotzdem Schadsoftware oder einen gefährlichen Link enthält!
  • Folgen Sie keinesfalls Links zu Dateianhängen mit der Aufforderung, diese zu öffnen
  • Lesen Sie zudem die E-Mails der IT-Sicherheit immer sorgfältig und vollständig und halten Sie sich an die dort platzierten Empfehlungen.

Was ist EMOTET?

EMOTET ist ein Trojaner, also eine Schadsoftware.

Eine Emotet-Infektion hat eine Schadensdimension, welche vor wenigen Jahren noch nicht vorstellbar war.

EMOTET lädt auf infizierten Systemen weitere Schadsoftware nach – häufig TRICKBOT. Hierbei handelt es sich um eine fortschrittliche Schadsoftware, die verschiedene Werkzeuge und Methoden nutzt, um automatisiert das Netzwerk des Betroffenen – bis hinein in die zentralen Komponenten der Nutzerrechteverwaltung (Active Directory) – komplett zu übernehmen. Damit ist das Unternehmensnetz häufig vollständig kompromittiert und nicht mehr vertrauenswürdig. Der Angreifer besitzt anschließend alle Rechte, um beispielsweise Benutzerkonten mit Administrator-Rechten anzulegen, Daten einzusehen und abfließen zu lassen oder Hintertüren einzurichten. Damit nutzt jetzt auch weit verbreitete Crime-Schadsoftware flächig, standardmäßig und automatisiert Techniken, die zuvor nur im Zusammenhang mit zielgerichteten Spionage-Angriffen beobachtet wurden. Dies stellt eine neue Dimension der Bedrohungslage insbesondere für kleine und mittelständische Unternehmen dar, die bislang von fortschrittlichen hochwertigen Angriffstechniken nicht unmittelbar bedroht waren. Diese Bedrohung gilt gleichermaßen auch für Betreiber kritischer Infrastrukturen wie Krankenhäuser, Behörden aller föderalen Ebenen und weitere Organisationen.

Was machtet EMOTET neuerdings gefährlicher?

Neuerdings greift sich Emotet auch die Anhänge von E-Mails auf Rechnern, die er befallen hat – und nutzt sie, um den Empfängern die vermeintliche Echtheit der Spam-Nachrichten vorzutäuschen.

Was würde eine EMOTET-Infektion für Ihr Unternehmen bedeuten?

Erfolgt eine vollständige Übernahme des Netzwerks durch die Täter, muss dieses komplett parallel neu aufgebaut werden, um wieder eine vertrauenswürdige Umgebung zu schaffen. Ein solcher Vorfall würde Ihr Unternehmen für Wochen lahmlegen. Dieses Risiko ist real. Die Liste von Organisationen, welche mit einem derartigen IT-Großschadensereignis umgehen mussten, ist lang. Unter ihnen sind Großunternehmen (jüngst Garmin) genauso wie öffentliche Verwaltungen sowie Energieversorger.

Aber wir sind doch sicherlich durch eine Anti-Virensoftware geschützt!?

Das US-CERT (United States Computer Emergency Readiness Team) bezeichnet Emotet als die aktuell wohl zerstörerischste Schadsoftware – und das mit gutem Grund.

Die kriminellen Entwickler hinter Emotet haben Cybercrime auf ein neues Niveau gehoben. Leider schützen auch diese Systeme nicht vollständig vor einem EMOTET-Angriff. Der entscheidende Sicherheitsfaktor bleibt letztendlich der Mensch, d. h. der Anwender, bei dem die Angriffsnachricht eingeht. Aus diesem Grund ist die Sensibilisierung aller Mitarbeiter/innen erforderlich. Es kommt auf Sie und Ihr Verhalten an!

Was kann getan werden, um eine EMOTET-Infektion zu vermeiden?

Eine automatisierte Auswertung des E-Mail-Verkehrs bereits betroffener Nutzer erlaubt Emotet die Ableitung persönlich und authentisch wirkender Phishing-Mails im Namen von Kollegen, Geschäftspartnern und sonstigen Kontakten. Grundlage sind Methoden, die zuvor nur von professionellen und langfristig durchgeführten Angriffen auf besonders kritische Ziele bekannt waren.

 

Der Trojaner ist in der Lage, authentisch aussehende E-Mails zu verschicken. Emotet erlangt die entsprechenden Informationen durch das Auslesen der E-Mail-Korrespondenzen. So werden gezielt E-Mails verschickt, die scheinbar von bereits bekannten Kontakten stammen und darüber hinaus auch Auszüge aus einer früheren Kommunikation enthalten. Der Empfänger wird dabei direkt angesprochen. Sprachlich sind solche E-Mails in einem relativ fehlerfreien Deutsch geschrieben.

Ein Erkennungsmerkmal ist, dass im Absenderfeld der Name nicht zur angezeigten E-Mail-Adresse passt. Auffallend ist zudem ein sehr kurzer Text sowie Dateianhänge oder eingefügte Links mit der Aufforderung, diese zu öffnen. Die Schadsoftware verbirgt sich dann entweder im angehängten Dokument oder auf der verlinkten Website. Sollte man im eigenen Posteingang eine solche Nachricht erkennen, ist der angegebene Absender im Idealfall zu informieren. Oft weiß der genannte Kontakt nämlich nicht, dass bei ihm eine Infektion mit EMOTET vorliegt und in seinem Namen Schadsoftware per E-Mail verbreitet wird.

  • Vergewissern Sie sich daher stets, ob der Name im Absenderfeld zur E-Mail-Adresse passt (z.B. Doppelklick auf den Absender)
  • Als wichtigste Schutzmaßnahme gilt: Auch und gerade bei vermeintlich bekannten Absendern Anhänge – insbesondere Office-Dokumente – nicht gleich öffnen und auf Links nicht sofort klicken.

Im Zweifel sollte man beim angeblichen Absender anrufen, um den Versand der Mail, ihren Inhalt und die Anhänge zu verifizieren.

  • Folgen Sie keinesfalls Links zu Dateianhängen mit der Aufforderung, diese zu öffnen
  • Sollten Zweifel an der Echtheit einer Nachricht bestehen, nehmen Sie bitte Kontakt zu Ihrem IT Admin oder IT Sicherheitsbeauftragten auf. Öffnen Sie KEINE Anhänge!

F.M.P. – IT Sicherheit


0 Comments

Schreibe einen Kommentar

Avatar placeholder

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.