BSI warnt vor Trojaner “Emotet”

10. Dezember 2018 Manuel Seidel Comment

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Trojaner “Emotet”, der aktuell durch Dynamit-Phishing verbreitet wird. Emotet ist ein Trojaner, der durch äußerst authentisch wirkende Phishing-Mails ins Netzwerk eindringen kann und dabei kaum von echten Mails zu unterscheiden ist. Das Schadprogramm stellt eine akute Bedrohung für Unternehmen, Behörden und Privatanwender dar und kann in Einzelfällen Schäden in Millionenhöhe verursachen, wenn es beispielsweise kritische Geschäftsprozesse infiziert und lahmlegt.

Dynamit-Phishing ist eine besondere Art des Phishings, bei der die E-Mails sehr gut auf die Zielperson zugeschnitten werden, aber die Erstellung dennoch automatisiert abläuft und die E-Mails in großer Stückzahl verschickt werden. Dadurch trifft es nicht mehr nur das gut geschulte Personal großer Unternehmen, sondern viel mehr nun auch kleine und mittlere Unternehmen, die auf solche Angriffe nicht vorbereitet sind. Die Absicht hinter jedem Phishing ist es, die Empfänger dazu zu verleiten, den Mail-Anhang zu öffnen, um so an persönliche Daten sowie Passwörter zu gelangen.

Was steckt hinter dem Trojaner “Emotet”

Emotet kann Kontakte und E-Mail-Inhalte aus den Postfächern infizierter Systeme auslesen. Diese Informationen werden von den Tätern zur weiteren Verbreitung des Schadprogramms genutzt. Das funktioniert folgendermaßen: Empfänger erhalten E-Mails mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie sogar gegebenenfalls erst kürzlich in Kontakt standen. Aufgrund der korrekten Angabe der Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten auf viele Nutzer vertrauenswürdig. Aus diesem Grund verleiten solche Mails zum unbedachten Öffnen des schädlichen Dateianhangs oder der in der Nachricht enthaltenen URL.

Sobald der Computer infiziert ist, lädt Emotet weitere Schadsoftware aus dem Internet nach (bspw. den Banking-Trojaner “Trickbot”). Diese Schadprogramme können tiefgreifende Änderungen im System vornehmen oder können den Kriminellen sogar die vollständige Kontrolle über das System ermöglichen. Besonders im Unternehmen kann es zu erheblichen Schäden bis hin zu Produktionsausfällen kommen. Für Privatanwender kann es hauptsächlich den Verlust von Daten und insbesondere wichtiger Zugangsdaten bedeuten.

Aktuelle Emotet-Mails können eine Doc-Datei mit Makros enthalten. Der Empfänger muss die Datei bewusst öffnen bevor dann der Rechner über eingebettete PowerShell-Kommandos infiziert wird und weitere Schadsoftware aus dem Internet nachgeladen werden kann.

Wie Sie sich schützen können:

Um sich vor Emotet-Infektionen zu schützen, muss man einerseits seine Mitarbeiter schulen und andererseits auch technische Maßnahmen ergreifen. Im folgenden haben wir einige Schutzmaßnahmen zusammengetragen:

Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Im Zweifel E-Mail-Anhänge nur nach Rücksprache mit dem Absender öffnen.
Installieren Sie zeitnah bereitgestellte Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.).
Setzen Sie Antiviren-Software ein und prüfen Sie regelmäßig ob Updates verfügbar sind.
Dateiendungen standardmäßig anzeigen lassen. Dadurch können Nutzer doppelte Dateiendungen wie bei “Rechnung.pdf.exe” einfacher erkennen.
Sensibilisierung und Schulung der Mitarbeiter zum Thema Phishing E-Mails und allgemeinen Themen der IT-Sicherheit.
Sichern Sie regelmäßig Ihre Daten (Backups).

Weitere Schutzmaßnahmen:

Verwendung von Multifaktor-Authentifizierung (bspw. Authpoint) zur Anmeldung an Systemen. Dies verhindert die automatisierte Ausbreitung von Schadprogrammen im Netzwerk mittels ausgespähter Zugangsdaten.
Nur die nötigsten Programme auf dem System installieren, um die Angriffsfläche klein zu halten.
Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt durch automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Unregelmäßigkeiten.
Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.
Alle Nutzerkonten sollten nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.
Deaktivierung von Makros und .OLE-Objekten in Microsoft Office, Verwendung von signierten Makros: Die generelle Ausführung von Makros sollte (zentral per Gruppenrichtlinie) deaktiviert werden. Innerhalb der Organisation verwendete Makros sollten digital signiert sein. Es sollten nur Makros mit festgelegten digitalen Signaturen von konfigurierten vertrauenswürdigen Orten zugelassen werden.
E-Mails mit ausführbaren Dateien (.exe, .bat, .cmd, .scr, .chm, .com, .msi, .jar, .hta, .pif, .scf, etc.) im Anhang – auch in Archiven wie .zip – sollten blockiert oder in Quarantäne verschoben werden. Sollte eine generelle Filterung für manche Dateitypen oder Empfänger aufgrund von zwingend notwendigen Arbeitsabläufen nicht möglich sein, sollten entsprechende E-Mails deutlich im Betreff markiert werden.

Was Sie tun können, wenn Sie betroffen sind:

Potenziell infizierte Systeme umgehend vom Netzwerk isolieren, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu vermeiden. Dazu das Netzwerkkabel (LAN) ziehen. Gerät nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen.
Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet.
Informieren Sie Ihre Kontakte über die Infektion, denn Ihre Mailkontakte sind in diesem Fall besonders gefährdet.
Ändern Sie auf den betroffenen Systemen (zum Beispiel im Web-Browser) alle gespeicherten und eingegebenen Zugangsdaten.
Schadprogramme wie “Emotet” nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor. Der infizierte Rechner sollte deshalb neu aufgesetzt werden.
Melden Sie den Vorfall beim BSI – ggf. anonym – um eine frühzeitige Warnung durch das BSI zu ermöglichen.
Stellen Sie Strafanzeige bei der Zentralen Ansprechstelle für Cybercrime (ZAC) in Ihrem Bundesland.

Mein Warenkorb

WatchGuard Firewall / VPN

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Zubehör und weitere Services

Ältere WatchGuard Modelle

WatchGuard Access Points

Wi-Fi 6 WatchGuard Access Points

ältere WatchGuard Access Points

WatchGuard AuthPoint

Multifaktor-Authentifizierung

WatchGuard Endpoint Security & Panda

Einzelprodukte

Zusatzmodule

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin:

WatchGuard Schulungen

Unsere WatchGuard Administrator-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Follow-Up Q&A-Session:

Weitere Termine:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

BSI warnt vor Trojaner “Emotet”

Was steckt hinter dem Trojaner “Emotet”

Wie Sie sich schützen können:

Was Sie tun können, wenn Sie betroffen sind:

Das könnte Sie auch interessieren:

Leave a Reply Cancel Reply

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327