{"id":5734,"date":"2018-12-10T15:53:37","date_gmt":"2018-12-10T14:53:37","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=5734"},"modified":"2019-08-06T15:27:10","modified_gmt":"2019-08-06T13:27:10","slug":"bsi-warnt-vor-trojaner-emotet","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2018\/12\/bsi-warnt-vor-trojaner-emotet\/","title":{"rendered":"BSI warnt vor Trojaner &#8220;Emotet&#8221;"},"content":{"rendered":"<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt vor dem Trojaner &#8220;Emotet&#8221;, der aktuell durch Dynamit-Phishing verbreitet wird.\u00a0Emotet ist ein Trojaner, der durch \u00e4u\u00dferst authentisch wirkende Phishing-Mails ins Netzwerk eindringen kann und dabei kaum von echten Mails zu unterscheiden ist.\u00a0<!--more-->Das Schadprogramm stellt eine akute Bedrohung f\u00fcr\u00a0Unternehmen, Beh\u00f6rden und Privatanwender dar und kann in Einzelf\u00e4llen Sch\u00e4den in Millionenh\u00f6he verursachen, wenn es beispielsweise kritische Gesch\u00e4ftsprozesse infiziert und lahmlegt.<\/p>\n<p>Dynamit-Phishing ist eine besondere Art des Phishings, bei der die E-Mails sehr gut auf die Zielperson zugeschnitten werden, aber die Erstellung dennoch automatisiert abl\u00e4uft und die E-Mails in gro\u00dfer St\u00fcckzahl verschickt werden.\u00a0Dadurch trifft es nicht mehr nur das gut geschulte Personal gro\u00dfer Unternehmen, sondern viel mehr nun auch kleine und mittlere Unternehmen, die auf solche Angriffe nicht vorbereitet sind.\u00a0Die Absicht hinter jedem Phishing ist es, die Empf\u00e4nger dazu zu verleiten, den Mail-Anhang zu \u00f6ffnen, um so an pers\u00f6nliche Daten sowie Passw\u00f6rter zu gelangen.<\/p>\n<h5 id=\"nav_angriff_im_netz_2\" class=\"subheading\">Was steckt hinter dem Trojaner &#8220;Emotet&#8221;<\/h5>\n<p>Emotet kann Kontakte und\u00a0<span lang=\"en-GB\" xml:lang=\"en-GB\">E-Mail<\/span>-Inhalte aus den Postf\u00e4chern infizierter Systeme auslesen. Diese Informationen werden von den T\u00e4tern zur weiteren Verbreitung des Schadprogramms genutzt. Das funktioniert folgenderma\u00dfen: Empf\u00e4nger erhalten\u00a0<span lang=\"en-GB\" xml:lang=\"en-GB\">E-Mails<\/span>\u00a0mit authentisch aussehenden, jedoch erfundenen Inhalten von Absendern, mit denen sie sogar gegebenenfalls erst k\u00fcrzlich in Kontakt standen. Aufgrund der korrekten Angabe der Namen und Mailadressen von Absender und Empf\u00e4nger in Betreff, Anrede und Signatur wirken diese Nachrichten auf viele Nutzer vertrauensw\u00fcrdig. Aus diesem Grund verleiten solche Mails zum unbedachten \u00d6ffnen des sch\u00e4dlichen Dateianhangs oder der in der Nachricht enthaltenen URL.<\/p>\n<p>Sobald der Computer infiziert ist, l\u00e4dt Emotet weitere Schadsoftware aus dem Internet nach (bspw. den Banking-Trojaner &#8220;Trickbot&#8221;). Diese Schadprogramme k\u00f6nnen tiefgreifende \u00c4nderungen im System vornehmen oder k\u00f6nnen den Kriminellen sogar die vollst\u00e4ndige Kontrolle \u00fcber das System erm\u00f6glichen. Besonders im Unternehmen kann es zu erheblichen Sch\u00e4den bis hin zu Produktionsausf\u00e4llen kommen. F\u00fcr Privatanwender kann es haupts\u00e4chlich den Verlust von Daten und insbesondere wichtiger Zugangsdaten bedeuten.<\/p>\n<aside class=\"akwa-ad-container\"><\/aside>\n<p>Aktuelle Emotet-Mails k\u00f6nnen eine Doc-Datei mit Makros enthalten. Der Empf\u00e4nger muss die Datei bewusst \u00f6ffnen bevor dann der Rechner \u00fcber eingebettete PowerShell-Kommandos infiziert wird und weitere Schadsoftware aus dem Internet nachgeladen werden kann.<\/p>\n<h5 id=\"nav_schutz_3\" class=\"subheading\">Wie Sie sich sch\u00fctzen k\u00f6nnen:<\/h5>\n<p>Um sich vor Emotet-Infektionen zu sch\u00fctzen, muss man einerseits seine Mitarbeiter schulen und andererseits auch technische Ma\u00dfnahmen ergreifen. Im folgenden haben wir einige Schutzma\u00dfnahmen zusammengetragen:<\/p>\n<ul>\n<li>\u00d6ffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianh\u00e4nge von\u00a0<span lang=\"en-GB\" xml:lang=\"en-GB\">E-Mails\u00a0<\/span>(insbesondere Office-Dokumente) und pr\u00fcfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Im Zweifel E-Mail-Anh\u00e4nge nur nach R\u00fccksprache mit dem Absender \u00f6ffnen.<\/li>\n<li>Installieren Sie zeitnah bereitgestellte Sicherheitsupdates f\u00fcr Betriebssysteme und Anwendungsprogramme (Web-<span lang=\"en-GB\" xml:lang=\"en-GB\">Browser<\/span>,\u00a0<span lang=\"en-GB\" xml:lang=\"en-GB\">E-Mail<\/span>-Clients, Office-Anwendungen usw.).<\/li>\n<li>Setzen Sie Antiviren-<span lang=\"en-GB\" xml:lang=\"en-GB\">Software<\/span>\u00a0ein und pr\u00fcfen Sie regelm\u00e4\u00dfig ob Updates verf\u00fcgbar sind.<\/li>\n<li>Dateiendungen standardm\u00e4\u00dfig anzeigen lassen. Dadurch k\u00f6nnen Nutzer doppelte Dateiendungen wie bei &#8220;Rechnung.pdf.exe&#8221; einfacher erkennen.<\/li>\n<li>Sensibilisierung und Schulung der Mitarbeiter zum Thema Phishing E-Mails und allgemeinen Themen der IT-Sicherheit.<\/li>\n<li>Sichern Sie regelm\u00e4\u00dfig Ihre Daten (<span lang=\"en-GB\" xml:lang=\"en-GB\">Backups<\/span>).<\/li>\n<\/ul>\n<p>Weitere Schutzma\u00dfnahmen:<\/p>\n<ul>\n<li>Verwendung von Multifaktor-Authentifizierung (bspw. <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/produktinfos\/watchguard-authpoint\/\" target=\"_blank\" rel=\"noopener\">Authpoint<\/a>) zur Anmeldung an Systemen. Dies verhindert die automatisierte Ausbreitung von Schadprogrammen im Netzwerk mittels ausgesp\u00e4hter Zugangsdaten.<\/li>\n<li>Nur die n\u00f6tigsten Programme auf dem System installieren, um die Angriffsfl\u00e4che klein zu halten.<\/li>\n<li>Regelm\u00e4\u00dfiges manuelles\u00a0<span lang=\"en-GB\" xml:lang=\"en-GB\">Monitoring<\/span>\u00a0von Logdaten, idealerweise erg\u00e4nzt durch automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Unregelm\u00e4\u00dfigkeiten.<\/li>\n<li>Netzwerk-Segmentierung (Trennung von\u00a0<span lang=\"en-GB\" xml:lang=\"en-GB\">Client-\/Server-\/Domain-Controller<\/span>-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und\/oder Regionen.<\/li>\n<li>Alle Nutzerkonten sollten nur \u00fcber die minimal zur Aufgabenerf\u00fcllung notwendigen Berechtigungen verf\u00fcgen.<\/li>\n<li>Deaktivierung von\u00a0Makros\u00a0und .OLE-Objekten\u00a0in\u00a0<span lang=\"en-GB\" xml:lang=\"en-GB\">Microsoft<\/span>\u00a0Office, Verwendung von signierten Makros: Die generelle Ausf\u00fchrung von Makros sollte (zentral per Gruppenrichtlinie) deaktiviert werden. Innerhalb der Organisation verwendete Makros sollten digital signiert sein. Es sollten nur Makros mit festgelegten digitalen Signaturen von konfigurierten vertrauensw\u00fcrdigen Orten zugelassen werden.<\/li>\n<li>E-<span lang=\"en-GB\" xml:lang=\"en-GB\">Mails<\/span>\u00a0mit ausf\u00fchrbaren Dateien (.exe, .bat, .cmd, .scr, .chm, .com, .msi, .jar, .hta, .pif, .scf, etc.) im Anhang \u2013 auch in Archiven wie .zip\u00a0\u2013 sollten blockiert oder in Quarant\u00e4ne verschoben werden. Sollte eine generelle Filterung f\u00fcr manche Dateitypen oder Empf\u00e4nger aufgrund von zwingend notwendigen Arbeitsabl\u00e4ufen nicht m\u00f6glich sein, sollten entsprechende\u00a0<span lang=\"en-GB\" xml:lang=\"en-GB\">E-Mails<\/span>\u00a0deutlich im Betreff markiert werden.<\/li>\n<\/ul>\n<h5>Was Sie tun k\u00f6nnen, wenn Sie betroffen sind:<\/h5>\n<ul>\n<li>Potenziell infizierte Systeme umgehend vom Netzwerk isolieren, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitw\u00e4rtsbewegungen (<span lang=\"en-GB\" xml:lang=\"en-GB\">Lateral Movement<\/span>) zu vermeiden. Dazu das Netzwerkkabel (LAN)\u00a0ziehen. Ger\u00e4t nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen.<\/li>\n<li>Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten System erfolgen, w\u00e4hrend es sich noch im produktiven Netzwerk befindet.<\/li>\n<li>Informieren Sie Ihre Kontakte \u00fcber die Infektion, denn Ihre Mailkontakte sind in diesem Fall besonders gef\u00e4hrdet.<\/li>\n<li>\u00c4ndern Sie auf den betroffenen Systemen (zum Beispiel im Web-<span lang=\"en-GB\" xml:lang=\"en-GB\">Browser<\/span>) alle gespeicherten und eingegebenen Zugangsdaten.<\/li>\n<li>Schadprogramme wie &#8220;Emotet&#8221; nehmen teilweise tiefgreifende (sicherheitsrelevante) \u00c4nderungen am infizierten System vor. Der infizierte Rechner sollte deshalb neu aufgesetzt werden.<\/li>\n<li><a class=\"RichTextIntLink NavNode\" title=\"Zur Meldestelle der Allianz f\u00fcr Cyber-Sicherheit\" href=\"https:\/\/www.allianz-fuer-cybersicherheit.de\/ACS\/DE\/Meldestelle\/Online_Meldung\/onlinemeldung.html\" target=\"_blank\" rel=\"noopener\">Melden Sie den Vorfall<\/a> beim BSI &#8211; ggf. anonym &#8211; um eine fr\u00fchzeitige Warnung durch das BSI zu erm\u00f6glichen.<\/li>\n<li>Stellen Sie Strafanzeige bei der\u00a0<a class=\"RichTextIntLink NavNode\" title=\"Klicken Sie hier, um weitere Informationen zu erhalten.\" href=\"https:\/\/www.allianz-fuer-cybersicherheit.de\/ACS\/DE\/Meldestelle\/ZAC\/polizeikontakt.html\" target=\"_blank\" rel=\"noopener\">Zentralen Ansprechstelle f\u00fcr Cybercrime<\/a>\u00a0(ZAC) in Ihrem Bundesland.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt vor dem Trojaner &#8220;Emotet&#8221;, der aktuell durch Dynamit-Phishing verbreitet wird.\u00a0Emotet ist ein Trojaner, der durch \u00e4u\u00dferst authentisch wirkende Phishing-Mails ins Netzwerk eindringen kann und dabei kaum von echten Mails zu unterscheiden ist.\u00a0<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[445],"tags":[508,510,451,436,509,575],"class_list":["post-5734","post","type-post","status-publish","format-standard","hentry","category-aktuelle-nachrichten","tag-dynamit-pishing","tag-emotet","tag-malware","tag-phishing","tag-trojaner","tag-watchguard-authpoint"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/5734"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=5734"}],"version-history":[{"count":15,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/5734\/revisions"}],"predecessor-version":[{"id":5754,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/5734\/revisions\/5754"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=5734"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=5734"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=5734"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}