Emotet – ein trickreicher Trojaner verursacht hohe Kosten

EMOTET
Aktualisiert am 25.02-2020

Der Trojaner Emotet infiziert nicht nur Rechner / Server von Firmen, sondern von ihm geht auch eine Bedrohung für private Anwender aus.

EMOTET – Warnung vor Schadsoftware

Der bereits 2014 entdeckte Trojaner Emotet breitet sich immer schneller aus. Zwar wurde die Schadsoftware ursprünglich als Banking-Trojaner entwickelt, um vertrauliche Daten auszuspähen. Inzwischen ist sie jedoch ausgebaut worden. So kamen weitere Banking-Trojaner sowie Spamming-Funktionen hinzu. Dabei machen zwei Eigenschaften die Schadsoftware besonders gefährlich. Einerseits versteht sie es, Antivirenprogramme zu täuschen bzw. zu umgehen. Andererseits verhält sich der Trojaner wie ein Computerwurm, was es ihm ermöglicht, mit rasanter Geschwindigkeit andere Computer zu infizieren. Obwohl sich die Schadsoftware in erster Linie gegen Unternehmen, Behörden und Organisationen richtet, bleiben auch Privatpersonen nicht unbedingt verschont.

Außerdem nutzen die Urheber Spam-E-Mails, um ihr Ziel zu erreichen. Diese, auf den ersten Blick harmlos aussehenden E-Mails enthalten Links, Scripts oder ein angehängtes Dokumente mit aktiven Makros. Sobald du auf den Link klickst oder den Anhang öffnest, installiert sich die Schadsoftware auf deinem Gerät. Dort zeigt der Trojaner seine große Zerstörungskraft und die Bereinigung des Geräts verursacht hohe Kosten.

Nach dem denkwürdigen Emotet-Angriff auf die Stadt Allentown im US-Bundesstaat Pennsylvania wurde direkte Hilfe durch das Incident Response Team von Microsoft benötigt, um die infizierten Computer zu bereinigen. Die Gesamtkosten für die Stadt beliefen sich auf mehr als eine Million US-Dollar.

Quelle: MALWAREBYTES

Angriffe auch in Deutschland

Nicht weniger große Schäden verursacht/e der Trojaner auch in Deutschland. Neben einigen Kliniken sind/waren mutmaßlich auch einige Stadtverwaltungen wie Frankfiurt oder Bad Homburg betroffen. Im Dezember 2019 hat die Infektion mit Schadsoftware das komplette IT-System der Universität Gießen lahmgelegt. Und das für mehrere Wochen, so dass der gesamte Uni-Betrieb für 30-40 000 Mitarbeiter und Studenten in Teilbereichen analog stattfinden musste. In anderen gab es jedoch auch keine Alternativlösung.

Verbreitung von Emotet per Spam-E-Mail

Da der Trojaner deine Kontaktbeziehungen und E-Mail-Inhalte ausliest, können sich die Urheber der Spam-E-Mails eines äußerst raffinierten Tricks bedienen. Denn du erhältst nicht E-Mails von irgendwelchen obskuren Absendern, sondern von solchen, mit denen du kürzlich kommuniziert hast. Darüber hinaus kann der mit der Schadsoftware installierte Bot sogar eigenständig auf deine E-Mails antworten und den Text der ursprünglichen E-Mail einfügen.

Obwohl die Inhalte der E-Mails frei erfunden sind, wirken sie durch die korrekten Namen, E-Mail-Adressen von Absender und Empfänger, die Anrede und die Signatur authentisch. Infolgedessen erwecken sie auch selten den Argwohn der Empfänger. Selbst dann nicht, wenn explizit zum Öffnen der angehängten Datei aufgefordert wird. Dieser Hinweis in deutscher oder englischer Sprache sieht beispielsweise wie folgt aus (Quelle: POLIZEI NIEDERSACHSEN):

  • Alle Angaben entnehmen Sie bitte dem angehängten angeforderten Dokument.
  • Eine Dokumentation befindet sich im Anhang.
  • Anbei erhalten Sie Ihre angeforderten Informationen für Ihre Unterlagen.
  • Im Anhang dieser E-Mail erhalten Sie Informationen zu Ihrem Vertrag.
  • Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.
  • Your statement is attached. Please remit payment at your earliest convenience.
  • Please remit payment at your earliest convenience.

Emotet über das WLAN-Netz

Wie am 7. Februar 2020 bekannt wurde, haben Sicherheitsforscher entdeckt, das Emotet offenbar neue Wege gefunden hat, um insbesondere Windows-Geräte zu infizieren. Zunächst erstellt er auf infizierten Rechnern eine Liste mit allen sichtbaren WLAN-Netzen. Anschließend meldet er sich in anderen Netzen an, indem er die Passwörter auf der Liste durchprobiert. Wenn er ein „passendes Paar“ gefunden hat, kann er nun in weitere Geräte, die mit diesem Netz verbunden sind, eindringen.

Einfalltor Office 365

Wie oben bereits erwähnt, sind Computer, die mit Programmen von Microsoft arbeiten, anfälliger für Schadsoftware. So wurde im Februar bekannt, dass es auch Office 365 Emotet leicht(er) macht, sich einzunisten. Betroffen sind folgende Versionen:

  • Office 365 Business, Business Essentials, Business Premium
  • Office 365 Enterprise E1, Enterprise F1
  • Microsoft 365 Business

Normalerweise kann das Ausführen von Makros (z. B. auch von Emotet-Makros) durch Microsoft Office per Gruppenrichtlinie verboten werden. Die oben genannten Office Versionen ignorieren jedoch die erstellten Gruppenrichtlinien, ohne den Nutzer darüber zu informieren.

Microsoft ist diese Sicherheitslücke wohl bekannt, jedoch sieht es nicht so aus, als ob das Unternehmen irgendetwas dagegen unternehmen wolle. Stattdessen empfiehlt es, doch auf die Enterprise-Versionen umzusteigen. Da diese teurer sind, drängt sich der Verdacht auf, dass es Microsoft weniger um die Sicherheit seiner Produkte und der Geräte, auf denen sie installiert sind, als um den eigenen Profit geht.

Vorbeugende Maßnahmen

Einerseits gelten dieselben Vorsichtsmaßnahmen wie für Phishing im Allgemeinen. Andererseits wird die Überprüfung auf Echtheit in diesem Fall erheblich erschwert, da diese Art von E-Mails vorgibt, die Weiterführung einer tatsächlichen Kommunikation zu sein. Da der Empfänger also mit einer Antwort rechnet bzw. diese erwartet, wird er weniger kritisch damit umgehen.

Deshalb ist es umso wichtiger, auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) zu öffnen. Prüfe außerdem die in den Nachrichten enthaltene Links, bevor du sie anklickst. Und im Zweifelsfall solltest du bei einer verdächtigen E-Mail den Absender anrufen und dich nach der Richtigkeit erkundigen. Darüber hinaus empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI)

  • Richte ein gesondertes Benutzerkonto auf dem Computer ein, um zu surfen und E-Mails zu schreiben.
  • Sichere regelmäßig deine Daten.
  • Installiere zeitnah bereitgestellte Sicherheitsupdates für die Betriebssysteme.
  • Dasselbe gilt für Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.).
  • Benutze Antiviren-Software und aktualisiere diese ebenfalls regelmäßig.
  • Ersetze das Standardpasswort für dein WLAN-Netz durch ein individuelles, starkes Passwort.

Wenn es dann doch passiert ist

Als erstes ist es dringend notwendig, dein Umfeld (Kollegen, Familie etc.) und vor allem deine E-Mail-Kontakte sofort darüber zu informieren. Außerdem solltest du umgehend alle Zugangsdaten auf dem infizierten Gerät ändern. Dazu gehören auch Nutzernamen und Passwörter, die z. B. im/in Browser/n gespeichert sind. Denke dabei daran, möglichst schwer zu erratende, sichere Passwörter zu wählen.

Da sich das Schadprogramm sehr tief im System festgesetzt und die unterschiedlichsten Änderungen vorgenommen hat, ist es nicht ganz einfach, es wieder los zu werden. Falls dein Gerät mit einem Netzwerk verbunden ist, muss es zunächst isoliert werden. Danach kannst du das Gerät reinigen und neu aufsetzen. Sofern jedoch auch das Netzwerk mit Emotet infiziert ist, könnte dein Gerät sich, sobald es wieder mit dem Netzwerk verbunden ist, sofort erneut „anstecken“. Unter Berücksichtigung nicht nur dieses Aspekts ist es i. d. R. sinnvoller, direkt einen Experten mit der Beseitigung des Problems zu beauftragen.

Von Ellena © Grafiken: eb


Auch interessant

Aktuelle Phishing-Versuche

android apple apps bloggen browser cloud dsl-wlan e-mail foto google internetsicherheit ios macOS messenger microsoft mobilfunk onlinedienste recht seo social tutorials updates windows wordpress

Schreibe einen Kommentar