+43 (1) 812 32 30-0 office@purple-tec.at
Vorsicht: Trojaner Emotet legt Unternehmen lahm

Vorsicht: Trojaner Emotet legt Unternehmen lahm

Chaos in Deutschland: Eine Cybercrime-Gruppe lässt via ‚Dynamit-Phishing‘ den Trojaner Emotet auf Firmen los

Das BSI (Bundesamt für Sicherheit in der Informationstechnik), der CERT-Bund (Computer Emergency Response Team of Germany) und Sicherheitsexperten der LKAs (Landeskriminalämter) melden eine akute Flut an Trojaner-Angriffen und Schäden in Millionenhöhe. Der CERT-Bund, sowie die Polizei belegen, dass sich der Großteil der bisherigen Infektionen vor allem auf Unternehmen und Behörden konzentriert und es liegen schon etliche aktuelle Vorfälle beim LKA Niedersachsen vor.

Das gesamte Ausmaß ist noch nicht bekannt – fest steht jedoch, dass Trojaner Emotet seinem Namen alle Ehre macht und sich mittels sehr gut gemachter Phishing-Mails in die Postfächer schmuggelt. Dadurch, dass er sich so gut wie gar nicht von echten Mails unterscheidet, werden aktuell zahlreiche Firmen-Netzwerke in Deutschland infiziert.

Die Mails stammen dem Anschein nach von Geschäftspartnern, Kollegen oder Bekannten. Angeblich soll Emotet schon seit Monaten Informationen über seine Opfer sammeln und ausspionieren, wer mit wem innerhalb der Firmen kommuniziert. Mit diesen feinsäuberlich gesammelten Informationen ist es dann ein Leichtes, die Phishing-Mails optimal an das normale Kommunikationsverhalten innerhalb einer Organisation anzupassen.

Wie haben die Kriminellen das gemacht?

Offenbar hat sich die Gang der Methoden und Techniken von staatlich geförderten Hacker-Gruppen bedient. Der BSI-Präsident Arne Schönbohm äußert sich folgendermaßen: „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden“. Die qualitativ hochwertigen Angriffe (insofern man das so bezeichnen kann) stammen von konkreten Vorbildern, wie dem ‚Spear-Phishing‚ und dem so genannten ‚Lateral Movement‚.

Beim Spear-Phishing senden die Angreifer perfekt zugeschnittene E-Mails an eine bestimmte Zielperson, die dazu verleiten sollen den Anhang zu öffnen. Mit dieser Methode gelingt es Kriminellen immer wieder, selbst in die vermeintlich gesicherten Netzwerke von Regierungen und Rüstungskonzernen zu gelangen. Im Gegensatz dazu, werden die Mails in der aktuellen Trojaner-Welle automatisiert erstellt und massenweise versendet. Wegen der Art der Verbreitung und Wirkung, wäre im konkreten Fall die Bezeichnung Dynamit-Phishing treffender.

Wie sehen die Mails aus?

Die Emotet-Mails enthalten eine Doc-Datei mit Makros, deren Abarbeitung vom Empfänger erst gestattet werden muss, nachdem diese in MS Word geöffnet wurden. Bei den Office-Dokumenten handelt es sich oft um angebliche Rechnungen. Scheinbar ist es immer wieder der Fall, dass den Makros mit dem Mausklick auf „Inhalt aktivieren“ Haus und Tor geöffnet werden. Dabei werden für ein Dokument im E-Mail Postfach im Normalfall gar keine Makros benötigt.

Die Folge der Aktivierung:  Über eingebettete PowerShell-Kommandos wird der PC dann infiziert und es wird noch mehr Schad-Software aus dem Netz nachgeladen. 

Die Erstinfektion durch das Öffnen des Dokuments ist aber nicht das schlimmste. Der Trojaner macht sich die gesammelten Zugangsdaten auf dem Computer zunutze, sowie einen aus dem Geheimlabor der NSA stammenden Exploit. Erst dadurch kommt es schließlich zum erwähnten Schaden und zum Kollaps der IT Infrastrukturen. Über Jahre haben US-Hacker mit EternalBlue im Auftrag der Regierung ganze Firmennetze angegriffen.

Trojaner Emotet

Immer noch finden die Emotet-Angreifer mithilfe des Exploits Opfer, die den zur Verfügung gestellten Patch von Microsoft nicht eingestellt haben.

Wie können sich Unternehmen am besten schützen?

Die Ursache der Infektion durch Emotet liegt im Öffnen bzw. in der Ausführung von Makros, was für erhaltene Doc-Dateien eigentlich sehr selten notwendig ist. Wenn möglich, sollten Administratoren das über Gruppenrichtlinien großteils verbieten. Zumindest in der Open-Source Lösung LibreOffice und OpenOffice funktionieren die Emotet-Makros nicht. Grundsätzlich kann man davon ausgehen, dass es sich sehr wahrscheinlich um einen Trojaner handelt, wenn eine gesendete Datei das Aktivieren von Makros anfordert.

Weiters sind Maßnahmen zur Erhöhung des firmeninternen Sicherheitsniveaus zu empfehlen, die eine Ausbreitung des Trojaners verhindern. Eine Grundvoraussetzung ist natürlich auch das Einspielen aktueller Sicherheits-Updates.

Konkrete Handlungsempfehlungen für Bürger und Unternehmen finden sich auf der Seite des BSI. Unsere persönliche Empfehlung findet ihr im nächsten Absatz! ;)

>> Alles unter Kontrolle bei Bitdefender!

Bei Kunden der Antiviren-Software von Bitdefender hat es bisher zum Glück keine großen Zwischenfälle gegeben. Laut unseren Tech-Kollegen von Bitdefender ist bisher alles unter Kontrolle:

„We are currently detecting emotet, with various detection names and hashes. If you have any samples or hashes you want analyzed, please send them to us. We also have an emotet removal tool, along with documentation for it.Please let us know if you require any additional information from us.“

Erpressungstrojaner GandCrab

Erpressungstrojaner GandCrab

Der neueste Erpressungstrojaner kommt via Bewerbung ins Firmen-Postfach​​​​​​​​​​​​​​​

Zur Zeit sind wieder vermehrt gefährliche Mails in Umlauf. Das trojanische Pferd im Email-Postfach – auch Gandcrab genannt – bezieht sich auf gefälschte Bewerbungsmails an Firmen. Personaler und andere Verantwortliche sollten Vorsicht walten lassen und die Dateianhänge von eingehenden Bewerbungen vor dem Öffnen zuerst überprüfen. Der bloße Empfang der Fake-Bewerbungen ist dabei erstmal unproblematisch.

Erst beim Öffnen des Anhangs wird es dann gefährlich. Im Dateianhang sind meistens ein Bild und ein Zip-Archiv zu finden und in letzterem befindet sich der Erpressungstrojaner in Form einer .exe-Datei. Die .exe-Datei sollte auf keinen Fall geöffnet bzw. ausgeführt werden – andernfalls wird der Computer infiziert.

Gandcrab verschlüsselt die auf dem PC gespeicherten Dateien, die danach die Dateiendung „.krab“ aufweisen. Mit den gesperrten Dateien ist nichts mehr anzufangen, es sei denn man bezahlt das von den Erpressern geforderte Lösegeld. Erst nach Bezahlung der Summe rücken die Cyber-Kriminellen dann den Schlüssel heraus, mit dem die Daten wieder freigegeben werden können.

Lösegeld bezahlen: Ja oder nein?

Laut LKA (Landeskriminalamt) und einigen Experten soll man das Lösegeld auf keinen Fall zahlen und sich erstmal an die zentrale Ansprechstelle Cybercrime (ZAC) der Polizei wenden.

Wie kann man die gefälschten Mails erkennen?

Generell sind die betrügerischen Mailings immer besser gemacht und auch offensichtliche Fehler sind seltener. Woran man allg. Betrug-Mailings erkennt, haben wir im Beitrag Wie falsche Chefs und „Fake-Präsidenten“ ganz bequem an Millionen kommen näher erläutert. Auf jeden Fall ist man mit einer guten Sicherheitslösung am besten beraten.

Als sich die Nachricht über die Erpressungstrojaner verbreitet hat, haben bereits 37 von 67 Scannern bei der betroffenen Datei Alarm geschlagen (darunter waren u.a. Avira, Kaspersky und Bitdefender). Die Mails erkennt man durch typische Betreff-Phrasen wie „Bewerbung auf die ausgeschriebene Stelle – Hannah Sommer“ o.ä.

Ransomware Emails GanCrab

Aktuell konzentrieren sich die Mail-Angriffe angeblich nur auf Windows-PCs in Unternehmen. Linux oder macOS Betriebssysteme sind derzeit nicht bedroht. 

Gerade die Antiviren-Schutz Software aus Rumänien Bitdefender gilt als äußerst effektiv im Schutz gegen neuste Bedrohungen aus dem Internet und noch unbekannte Bedrohungen. Besonders der Phishing- und Spam-Schutz für Exchange-Mail-Server sind hier hervorzuheben.

Du willst mehr über Bitdefender erfahren?

Schreib‘ uns einfach eine kurze Mail. Wir melden uns dann bei dir!

Wie bekomme ich meine verschlüsselten Daten wieder?

Im Moment gibt es noch keine kostenlose Entschlüsselungs-Software, man kann aber auf der Webseite von ID Ransomware Dateien hochladen und identifizieren lassen. Somit kann man zumindest prüfen, ob es zu einer bestimmten Datei schon einen bekannten Weg gibt die gesperrten Dateien wieder zu entschlüsseln.

Sowohl Firmen als auch private Nutzer sollten regelmäßig Backups von ihren Daten machen, damit diese im Falle einer Infektion einfach wieder zurück auf den PC gespielt werden können. Dabei ist zu beachten, dass der Backup-Speicher nicht an einem Computer angeschlossen bzw. mit dem Netzwerk verbunden ist. 

Ganz allgemein gilt natürlich: Anhänge in E-Mails sollten nicht einfach unüberlegt geöffnet werden. Ebenso wenig ratsam ist es natürlich, auf dubiose Links zu klicken.

Neue Bedrohung für fast Alle: Meltdown und Spectre

Neue Bedrohung für fast Alle: Meltdown und Spectre

Die Entwicklung von Patches läuft auf Hochtouren, seit die beiden neusten Angriffsszenarien Meltdown und Spectre entdeckt wurden: Diese werden durch Sicherheitslücken bzw. Hardware-Bugs in allen Geräten möglich gemacht, die in den letzten 20 Jahren hergestellt wurden.

Sicherheitslücke

Forscher haben vor kurzem Schwachstellen in der Hardware-Architektur von Prozessoren entdeckt. Dadurch können Angreifer mit Schadcode alle Daten, die der Computer im Speicher verarbeitet auslesen – Passwörter, genauso wie Zugangscodes. Die Fülle an Angriffsmöglichkeiten wurde von drei Projektgruppen entdeckt. Durch den Fehler lässt sich Speicher auslesen, auf die ein User-Prozess gar nicht zugreifen dürfte (sog. Bruch der Memory Isolation).

Was technisch bei so einem Angriff passiert, können Sie in einer Analyse von Andreas Stiller nachlesen. Feststeht, dass die neuartigen Angriffsszenarien nicht mit herkömmlichen Softwareschwachstellen  vergleichbar sind. Ihre Besonderheit liegt darin, dass sie direkt das Design des Chips ausnutzen, das eigentlich die Rechenprozesse beschleunigen soll.

Besonders gefährdet sind Web-Browser: Sie laden Code herunter und führen ihn aus (JavaScript, HTML 5). Schadcode könnte beispielsweise über unseriöse Webseiten eingeschleust werden. Dagegen helfen Browser-Updates und Script-Blocker wie NoScript.

„Meltdown“ betrifft hauptsächlich Intel, ARM und AMD Prozessoren. Software-Patches können hier zwar die Angriffsfläche verringern, aber den Fehler nicht gänzlich beheben. Zusätzlich zu den Betriebssystem-Updates müssen auch BIOS Updates der jeweiligen Computer- bzw. Motherboard-Hersteller eingebracht werden. Bei Markengeräten und jüngeren PCs jetzt kein großes Problem, aber zig-Millionen Noname- und Supermarkt PCs in technisch nicht versierten Haushalten stellen eine riesige Gefahr dar. Da es sich um eine Hardware-Lücke handelt, sind alle Betriebssysteme betroffen, also etwa Windows, Linux, macOS, iOS, Android und FreeBSD.

Ob Ihre Geräte davon betroffen sind?

Mit größter Wahrscheinlichkeit Ja! Die anfälligen Prozessoren sind in so ziemlich allen Geräten verbaut – von PCs, Laptops und Smartphones, bis hin zu Tablets und Streaming-Boxen.

Auch ein Antivirus-Programm kann hier keinen Hunderprozentigen Schutz gewährleisten.

Grundsätzlich sind aktuelle, als auch ältere Prozessoren für mindestens eins der Angriffsszenarien anfällig. Eine ausführliche Auflistung finden Sie hier. Einer der wenigen Prozessoren, die als nicht betroffen gelten ist der Prozessor des Raspberry Pi.

Wie kann man sich schützen?

Für alle Benutzer von Windows- betriebenen PCs oder Laptops ist es hilfreich die letzten Windows 10 – und BIOS Updates von Dell, HP, Lenovo, oder der anderen Hardware Herstellern sicherzustellen. Microsoft hat bereits Patches zur Verfügung gestellt, die zumindest eine Ausnutzung der Sicherheitslücken schwerer machen sollen. Auch andere Betriebssystemhersteller rollen bereits Updates aus. Am besten schnellstmöglich installieren!Updates diverser Hersteller, sowie Infos dazu finden Sie hier. Die Liste wird laufend aktualisiert.

Nochmal zusammengefasst Willy’s 10 Punkte Liste:

  1. Immer das aktuellste Betriebssystem mit den aktuellsten Updates und Patches verwenden
  2. Auch alle Anwendungssoftware wie Browser, PDF Reader, Grafikprogramme auf den neuesten Stand bringen
  3. Das BIOS des Computer aktualisieren. Wer es nicht selber kann soll sich Hilfe holen.
  4. Unbedingt für jeden genutzten Dienst ein eigenes Passwort anlegen, nie das gleiche Passwort für mehrere Dinge verwenden
  5. Das EMail-Passwort ist das Wichtigste. Hier ein starkes Passwort verwenden. Wer dieses ergaunert hat, kann sich über „Passwort zurücksetzen“ andere Dienste freischalten lassen
  6. Verwenden Sie ein gutes und aktuelles Antivirenprogramm. Die Updates für dieses müssen automatisch und zumindest stündlich aktualisiert werden. 
  7. Wenn es sich um Firmengeräte handelt, schützen Sie sich durch eine richtige Hardware-Firewall. Diese (wenn sie eine aktuelle ist) schützt Sie auch vor Viren und Angriffen, in dem sie den Datenverkehr direkt am Internetanschluss kontrolliert und ggf. blockiert.
  8. Sobald alle Updates (auch das BIOS) installiert sind, die Passwörter wechseln. Man kann nie wissen, ob sie nicht schon ausgespäht worden sind
  9. Geben Sie acht, worauf Sie klicken. Wenn Ihnen etwas komisch vorkommt, schauen Sie genau oder kontaktieren Sie den Absender.
  10. Wenn Ihr Handy keine Updates mehr erhält, tauschen Sie es aus. Es gibt sehr gute Geräte um unter € 300,-, diese kann man wieder ein paar Jahre nutzen

Wie geht’s jetzt weiter?

In einem Artikel von futurezone heißt es: Ein komplett neues Chip-Design werde es nicht von heute auf morgen geben. Das wird noch viele Jahre dauern…

Auch noch wichtig! Wenn Sie eine E-Mail vom Bundesamt für Sicherheit in der Informationstechnik erhalten, in der Sie gebeten werden, den von ihnen, AMD und Intel entwickelten Sicherheitspatch zu installieren: Auf KEINEN Fall installieren, sondern die Mail sofort löschen!Dabei handelt es sich um eine Fake-Mail, die gerade in Umlauf ist und die auf eine Fake-Website führt – mit einem als Sicherheitspatch getarnten Windows-Trojaner!

Beitrag von Wilhelm Klenner: Hier erfahren Sie mehr über Insider-Erkenntnisse und wie wir von klenner.at mit der derzeitigen Situation umgehen, um unsere Kunden bestmöglichst zu schützen…

Share0Share +10Tweet0Share0 Default button text

1