E-Mail Trojaner Emotet wütet auch in der DACH Region

von | Dez 6, 2018 | IT Sicherheit, News |

Emotet, ein Trojaner, der derzeit mit täuschend echt aussehenden Phishing-Mails in Unternehmen weltweit die Runde macht, hat auch im deutschsprachigen Raum bereits Millionenschäden verursacht. ESET und Ikarus warnten bereits Mitte November vor einem gehäuften Auftreten des Trojaners. Mit dem Black Friday hat die Verbreitung noch an Tempo gewonnen.

IT Sicherheit und DSGVO Compliance mit ESET

Selbst das deutsche Bundesamt für Sicherheit in der Informationstechnik hat aufgrund der schwerwiegenden Sicherheitsvorfälle, bei denen es teilweise zu Komplettausfällen der IT mit daraus resultierenden Schäden in Millionenhöhe kam, nun detaillierte Warnungen zur Schadsoftware Emotet herausgegeben. 

Bei Emotet handelt es sich um einen Trojaner, der über nahezu perfekte Phishing-Mails verbreitet wird. Die Cyberkriminellen bedienen sich dabei hochprofessioneller Spearphishing-Methoden. Dabei werden exakt auf eine Zielperson zugeschnitte E-Mails verschickt. Der vermeintliche Absender täuscht vor, aus dem persönlichen Umfeld zu stammen, die Wahrscheinlichkeit, die angegriffene Person zum Öffnen des infizierten Inhalts zu verleiten ist damit um ein Vielfaches höher, als bei schlecht gefakten Mails unbekannter Absender. Auf bereits infizierten Geräten sammelt Emotet über Monate Informationen zum Kommunikationsverhalten seines Opfers, um schließlich automatisiert eine große Zahl an Mails an neue Opfer zu verschicken – eine Strategie, die bislang noch nicht bei Spearfishing-Angriffen beobachtet wurde. 

Die auf diesem Weg verschickten Mails enthalten im Anhang fast immer ein Word-Dokument. Laut einer Aussendung des Anti-Malware Herstellers Ikarus werden gelegentlich auch Links zum Download dieses Dokuments über eine spezielle URL angeboten. Der Betreff der E-Mail ist in Deutsch gehalten, meist ist es eine personalisierte – d.h. um den Namen des vermeintlichen Absenders ergänzte – Variante von Begriffen wie Rechnung, Mahnung, Sicherheitsupdate und ähnlichem mehr. Wird das Word-Dokument geöffnet und die darin enthaltenen Makros abgearbeitet, ist der Rechner infiziert. Emotet versucht nun, sich weiter im Netzwerk des befallenen Rechners auszubreiten. Im nächsten Schritt wird unbemerkt weitere Malware aus dem Internet geladen. Laut BSI wird vor allem der Banking-Trojaner Trickbot nachgeladen, der sowohl Zugangsdaten auslesen als auch SMB-Schwachstellen wie Eternal Blue zur Weiterverbreitung nutzen kann. Versuche, die Plage loszuwerden blieben bisherigen Bereichten zufolge erfolglos, meist blieben Teile der Schadsoftware im befallenen System zurück. Daher kommt der Vorsorge gerade in diesem Fall besonders hohe Bedeutung zu.

IT Sicherheit und DSGVO Compliance mit ESET

Wie können Sie sich am besten vor Emotet schützen?

Wenngleich die von Trojanern & Co. ausgehenden Gefahren nicht vollständig eliminiert werden können, gibt es doch Maßnahmen, die Sie ergreifen können, um die Risiken für Ihre IT zu minimieren. 

Patching und Updating der Anti-Malware-Software sowie der im Unternehmen eingesetzten Betriebssysteme und Software sollten selbstverständlich sein. Ganz besonders hohe Priorität haben dabei Programme, die ständig mit Quellen außerhalb des Unternehmens Kontakt haben, also Webbrowser, E-Mail-Clients, Office-Anwendungen (zum Öffnen empfangener Attachements), etc. Am besten erfolgt die Ausrollung aller Updates über eine zentrale Administration aller Clients. So kann sichergestellt werden, dass wirklich jeder Rechner im Unternehmen am aktuellsten Stand und somit geschützt ist. 

Mitarbeiter stellen im Allgemeinen die größte Gefahr in Punkto IT-Sicherheit dar. Nicht aus böser Absicht, sondern oft aus mangelnder Information und Unwissenheit. Fixe IT-Richtlinien und regelmäßige Informationen der Mitarbeiter über mögliche Gefahrenquellen schaffen hier Abhilfe. Zusätzlich empfiehlt es sich, über ein Berechtigungssystem den Zugang zu nicht benötigten Dokumenten und Systemen für die User zu beschränken.

Eine durchdachte Backup-Strategie mit einer regelmäßig durchgeführten, mehrstufigen Sicherung der Unternehmensdaten offline inklusive eines Plans zur raschen und unproblematischen Wiedereinspielung der Daten in einem Worst Case Szenario ist ebenfalls ein Muss in der Absicherung Ihres Unternehmens gegen durch Malware verursachte Schäden.

Malware-Infektionen und deren Ausbreitung kann unter anderem durch folgende Maßnahmen ein Riegel vorgeschoben werden:

  • Makros und OLE-Objekte in Microsoft Office Dokumenten sollten nur mit digitaler Signaturen vertrauenswürdiger Absender zugelassen werden. Eine generelle Ausführung deaktiviert man besser per Gruppenrichtlinie.
  • Die standardmäßige Einblendung von Dateiendungen erleichtert Mitarbeitern das Erkennen von Schadprogrammen, die sich sich als PDF, Word-File, etc. tarnen.
  • Das Einrichten verschiedener Filter, die potentiell gefährliche Mails, bzw. Attachments – wie ausführbare Dateien oder von extern  zugestellte Mails mit Absenderadressen des eigenen Unternehmens – in Quarantäne verschieben statt sie auszuliefern, hilft ebenfalls dabei, Risiken zu minimieren.
  • Der Einsatz einer Zwei-Faktor-Authentifizierung zur Anmeldung an Systemen reduziert die Wahrscheinlichkeit, dass sich Malware im Netzwerk Ihres Unternehmens durch zuvor ausspionierte Zugangsdaten weiterverbreiten kann.
  • Application Whitelisting, korrekt konfigurierte Firewalls, die Verschlüsselung von E-Mails, eine Deaktivierung bzw. zumindest Einschränkung von Windows Script Hosts (WSH), etc. sollten ebenfalls in keiner IT-Sicherheits-Strategie fehlen.
a

Textquellen & Links

Die offizielle Meldung des deutschen BSI finden Sie hier:
allianz-fuer-cybersicherheit.de

Quelle der Meldung von Ikarus: 
DI Christoph Barszczewski, IKARUS Security Software GmbH

a

Zur Seite ...